Глоссарий. Основные термины и определения в области информационной безопасности офисной деятельности. «Информационная безопасность. Курс лекций»

Аналитическая работа – комплексное исследование различной целевой направленности, предназначенное для выявления, структуризации и изучения опасных объективных и субъективных, потенциальных и реальных ситуаций, которые могут создать риск для экономической безопасности фирмы, ее деятельности или персонала, привести к материальным, финансовым или иным убыткам, падению престижа фирмы или ее продукции. Аналитическая работа ведется службой безопасности или информационно-аналитической службой фирмы, носит превентивный, информационный характер и использует в качестве инструмента учетный аппарат, предназначенный для фиксирования (протоколирования) необходимых для анализа сведений. Результаты аналитической работы показывают степень безопасности интеллектуальной собственности, условий функционирования фирмы и являются основой для построения и совершенствования системы защиты традиционных и электронных конфиденциальных информационных ресурсов фирмы, формирования рубежей охраны территории, здания, помещений, оборудования, продукции и персонала фирмы.

Аналитическая работа по выявлению каналов несанкционированного доступа к конфиденциальной информации — прогнозирование и выявление на основе комплексного исследования сложившихся или предполагаемых ситуаций состава и особенностей образования каналов несанкционированного доступа к конфиденциальной информации конкретной фирмы в единстве с изучением характера возможных угроз ее информационной безопасности. Исследование проводится в целях выработки методов защиты, пассивного и активного противодействия злоумышленнику, который тайно находит или формирует и использует каналы несанкционированного доступа (НСД) к информации, получения (добывания) ценных для него сведений. В основе исследования фирмой возможных каналов НСД лежит классификация, учет и изучение источников конфиденциальной информации фирмы, каналов естественного, объективного распространения этой информации, источников угрозы конфиденциальной информации и контроль эффективности системы защиты информации. Другие методы носят случайный характер ожидания ошибки в тайных действиях злоумышленника. На основе результатов аналитической работы определяются, учитываются и контролируются организационные и технические каналы НСД, вырабатываются меры предотвращения образования этих каналов, разрабатывается и систематически модифицируется система защиты информации фирмы, определяется ее структура и стоимость в соответствии с реальными опасностями, угрожающими ценной информации, ведется оценка надежности этой системы.

Аналитическая работа с источником конфиденциальной информации — комплексное исследование максимального числа источников, владеющих или содержащих конфиденциальные сведения. Предусматривает: выявление и классификацию источников конфиденциальной информации; изучение реального классифицированного состава циркулирующей конфиденциальной информации фирмы с указанием источников, обеспечиваемых функций и видов работы; изучение данных учета осведомленности сотрудников в тайне фирмы в разрезе каждого руководителя и сотрудника (в том числе технического), т. е. изучение степени и динамики реального владения персонала конфиденциальной информацией; изучение состава конфиденциальной информации в разрезе документов, т. е. изучение правильности расчленения тайны (конфиденциальной информации) между документами и определение избыточности ценной информации в документах; изучение выявленных угроз каждому отдельному источнику конфиденциальной информации; определение степени эффективности методов защиты информации, предпринятых по каждому источнику, и методов защиты, которые могут быть дополнительно использованы при активных действиях злоумышленника. При этом учитывается, что персонал является главным источником и виновником утраты конфиденциальной информации. Обязательному учету подлежат все санкционированные и несанкционированные обращения сотрудников к конфиденциальной информации, документам и базам данных.

Аналитическая работа с источником угрозы конфиденциальной информации – комплексное исследование максимального числа объектов и субъектов, представляющих опасность для Информационной безопасности фирмы. Предусматривает выявление и классификацию источников угрозы конфиденциальной информации, разработку мероприятий по локализации и ликвидации объективных угроз, изучение каждого отдельного субъективного внутреннего и внешнего источника угрозы конфиденциальной информации, учет направленности интересов каждого источника, степени его опасности (анализ риска) при реализации угрозы. В области внешних источников угрозы аналитическая работа связана с маркетинговыми исследованиями, которые регулярно ведет любая фирма. Анализ внутренних источников угрозы имеет целью выявление и изучение недобросовестных интересов и злоумышленных устремлений отдельных сотрудников фирмы и партнеров. В процессе анализа источников выявляются факты получения злоумышленником секретов фирмы, факты сотрудничества персонала фирмы с конкурентами или наличия в составе сотрудников фирмы злоумышленника.

Аналитическая работа с каналом объективного распространения конфиденциальной информации – комплексное исследование максимального числа коммуникативных каналов, по которым перемещаются конфиденциальные сведения в санкционированном режиме. Предусматривает: выявление и изучение реального классифицированного состава каналов объективного распространения конфиденциальной информации фирмы; изучение составных элементов каждого канала с целью нахождения опасных участков, способствующих возникновению канала несанкционированного доступа к информации; изучение состава ценной информации, циркулирующей в каждом канале; изучение состава ценной информации, циркулирующей между источниками; изучение распространения информации при коммуникативных связях; изучение методов защиты, предпринятых по каждому каналу, дополнительных мер противодействия злоумышленнику при активных угрозах и в экстремальных ситуациях. Информация должна поступать к конкуренту только по контролируемому каналу.

Аутентификация – проверка подлинности документов, информации, передаваемых по запросу пользователей или иных лиц.

Безопасность – защищенность жизненно важных интересов личности, общества и государства от внутренних и внешних угроз, состояние, при котором чему-либо или кому-либо не угрожает опасность.

Безопасность информационная – составная часть экономической безопасности предпринимательской деятельности. Включает в себя: а) комплексную программу (концепцию) обеспечения безопасности информационных ресурсов, отражающую актуальные задачи в этой области, и б) целесообразную в настоящий момент технологическую систему защиты информации, обеспечивающую необходимый уровень безопасности информационных ресурсов фирмы. Предполагает: наличие программы безопасности информационных ресурсов и аналитических исследований, систематической работы по определению и эволюции состава ценной, конфиденциальной информации; разработку организационных, распорядительных, нормативных и инструктивных документов, регламентирующих порядок реализации программы и систему защиты информации фирмы в части защиты информации в традиционном и электронном документообороте, защиты информации в компьютерах, сетях, линиях связи, защиты документированной информации от ошибочных и злоумышленных действий персонала, организации разрешительной системы доступа персонала к информации, защиты информации при ведении деловых переговоров, в рекламной и выставочной работе, защиты технических каналов распространения информации.

Безопасность информационных ресурсов (информации) – защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы и условиях экстремальных ситуаций. Безопасность ценной документированной информации (документов) определяется уровнем ее защищенности от стихийных бедствий, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных, а также опасностей неправомерного использования кем-либо ценных сведений, нарушения их сохранности, целостности конфиденциальности. Безопасность предполагает также защищенность конфиденциальной информации в информационных системах от случайных и преднамеренных воздействий естественного и искусственного свойства, направленных на изменение степени доступности ценных сведений в машинной и внемашинной сферах. Без учета требований по внемашинной защите конфиденциальной информации на магнитных, бумажных и иных носителях (что несущественно для автоматизированной обработки открытой информации) уязвимость информации резко возрастает и гарантировать в этих условиях безопасность информационных ресурсов, коммерческой (предпринимательской) тайны становится невозможно.

Безопасность маркетинговая – составная часть экономической безопасности предпринимательской деятельности. Предполагает: наличие аналитических исследований деловых интересов добросовестных конкурентов и партнеров, конъюнктуры рынка продукции, анализ направленности интересов недобросовестных конкурентов, злоумышленников, организацию разведки в бизнесе, аналитическую работу по выявлению ситуаций, опасных для деятельности фирмы.

Безопасность правовая – составная часть экономической безопасности предпринимательской деятельности. Предполагает наличие: правовой грамотности учредителей и персонала, документов, решений и организации деловых отношений, процессуальной защиты интересов предпринимателя, лицензирование деятельности, правовое обеспечение защиты коммерческой (предпринимательской) тайны, технических и технологических новшеств (ноу-хау).

Безопасность физическая – составная часть экономической безопасности предпринимательской деятельности. Предполагает: наличие обученного персонала охраны, эффективной инженерной системы охраны территории, здания, помещений, транспорта, оборудования, продукции, персонала фирмы, наличие технических средств охраны, сигнализирования и оповещения о нарушении системы охраны, наличие установленного взаимодействия службы охраны с правоохранительными органами, регламентацию действий персонала в экстремальных ситуациях, организацию службы телохранителей, охраны инкассации, наличие эффективных средств пожаротушения.

Безопасность экономическая – всесторонняя защищенность предпринимательской деятельности, деловых интересов каждого творческого коллектива, предприятия, фирмы и предпринимателя в большом и малом бизнесе во времени и пространстве. Является обязательным условием успеха в бизнесе, получения прибыли и сохранения в целостности предпринимательской организационной структуры. Экономическая безопасность предпринимательской деятельности включает в себя составные части: правовую, маркетинговую, информационную и физическую безопасность.

Бланк документа – набор реквизитов, идентифицирующих автора официального письменного документа.

Видеограмма – изображение электронного документа на экране дисплея. В полном смысле слова документом не является, представляет собой заверенную или незаверенную копию документа (как и факсограмма).

Владелец информационных ресурсов – субъект, осуществляющий владение и пользование указанным объектом и реализующий полномочия распоряжения в пределах, установленных законом и собственникам информационных ресурсов.

Выделение документов к уничтожению – выявление в процессе экспертизы научной и практической ценности документов с истекшими сроками хранения, утративших практическое, научное или общественное значение, и отбор их к уничтожению.

Выделенное помещение – рабочая комната или иное изолированное и охраняемое помещение, предназначенное для работы (исполнения, обработки, хранения) с традиционными (бумажными) и электронными документами, компьютерными базами конфиденциальных данных, изготовления и хранения изделий ограниченного доступа, проведения конфиденциальных совещаний, переговоров и заседаний. Подобные помещения, именуемые режимными, характеризуются: четкой разрешительной регламентацией и контролем доступа персонала в помещение, наличием постоянной охраны помещения и пропускного режима входа и выхода, контролем вносимых и выносимых предметов, в том числе личных вещей персонала, строгими правилами работы персонала с конфиденциальными документами, перекрытием всех потенциальных технических каналов утечки информации, автономной системой связи и энергоснабжения и другими особенностями.

Гриф конфиденциальности – см. Гриф ограничения доступа к документу.

Гриф ограничения доступа к документу – реквизит (элемент, служебная отметка, помета, пометка) формуляра документа, свидетельствующий о конфиденциальности сведений, содержащихся в документе, проставляемый на самом документе и (или) сопроводительном письме к нему, называется часто грифом конфиденциальности. Гриф ограничения доступа обозначается в соответствии с ГОСТ Р 6.30–97 и имеет несколько уровней, отражающих степень конфиденциальности защищаемых сведений, относимых к коммерческой (предпринимательской) тайне. Массовый уровень – грифы «Конфиденциально», «Конфиденциальная информация». Второй уровень, достаточно редкий – грифы «Строго конфиденциально», «Строго конфиденциальная информация», «Конфиденциально. Особый контроль». Не следует ставить гриф «Коммерческая тайна», так как грифом обозначается не вид тайны, а характер ограничения доступа к документу. Под грифом указывается номер экземпляра документа, срок действия грифа или иные условия его снятия, изменения. Может ставиться помета «Лично». На документах, содержащих сведения, отнесенные к служебной тайне, ставится гриф «Для служебного пользования» с указанием номера экземпляра документа. На электронных документах указанные грифы обозначаются на всех листах. На документах, содержание которых отнесено к профессиональной тайне, а также на документации службы персонала гриф конфиденциальности, как правило, не ставится, так как весь массив указанных документов является конфиденциальным. На ценных, но не конфиденциальных документах целесообразно проставлять отметку (надпись, штамп), предполагающую особое внимание к сохранности таких документов (например: «Собственная информация фирмы», «Информация особого внимания», «Хранить в сейфе» и др.). Гриф конфиденциальности присваивается документу: исполнителем при подготовке к составлению проекта документа; руководителем структурного подразделения (или направления деятельности фирмы) или руководителем фирмы при согласовании или подписании документа; работником службы конфиденциальной документации при первичной обработке поступивших документов, если конфиденциальный для фирмы документ не имеет грифа ограничения доступа. Изменение или снятие грифа конфиденциальности документа производится при изменении степени конфиденциальности (ценности) содержащихся в нем сведений.

Действия персонала в экстремальных ситуациях – система устойчивых и заблаговременно выработанных стереотипов (мотиваций) поведения персонала фирмы при возникновении опасности возникновения конкретного тип» экстремальной ситуации. Разработка системы возлагается на службу безопасности фирмы. Система предусматривает классификацию экстремальных ситуаций для конкретной фирмы, систематическое обучение должностных групп персонала правилам поведения в том или ином случае, разработку схемы оповещения персонала об опасности (стихийном бедствии, возгорании, задымлении, возможности взрыва, нападении на фирму и т. п.) и вступлении в действие плана эвакуации документов, дел, ценного оборудования, уничтожения ценных и конфиденциальных баз данных, разработку схемы оповещения правоохранительных и противопожарных органов и служб, схемы эвакуации персонала в безопасную зону. Обучение персонала должно основываться на изучении нормативных и плановых документов, решении ситуационных задач и проведении регулярных деловых игр. Большое значение имеет не только наличие и постоянное обновление нормативных и плановых документов и схем, но и материальное обеспечение действий персонала – наличие запирающейся тары для упаковки и переноса ценных документов, дел, магнитных носителей, технически исправных тележек, автотранспорта и т. п. Следует предусмотреть формирование групп сотрудников для оказания помощи сотрудникам фирмы и службам экстремальной помощи, а также организацию охраны здания, помещений, оборудования и эвакуированных документов и дел, персонала. Кроме того, система должна обязательно включать обучение сотрудников правилам поведения при возникновении индивидуальной опасности.

Дело – совокупность документов или документ, относящиеся к одному вопросу или участку деятельности, помещенные в отдельную обложку.

Делопроизводство, документационное обеспечение управления – отрасль деятельности, обеспечивающая документирование и организацию работы с официальными документами.

Делопроизводство конфиденциальное – традиционная технологическая система обработки и хранения конфиденциальных документов, основанная на использовании ручных методов работы с документами. Трудоемкость множества технических и формально-логических процедур и операций обычно снижается за счет включения в технологический процесс организационной и вычислительной техники. Система является универсальной. Она надежно, долговременно обеспечивает защиту документированной информации как в обычных, так и в экстремальных ситуациях. В связи с этим технологические стадии защищенного документопотока в большинстве случаев реализуются методами и средствами именно традиционной системы обработки и хранения документов. Система одинаково эффективно оперирует как традиционными (бумажными), так и документами машиночитаемыми, факсимильными и электронными. Помимо документационного обеспечения управленческой и производственной деятельности конфиденциальное делопроизводство решает другую, не менее важную задачу – обеспечение сохранности носителя и конфиденциальности информации. Эта задача выполняется за счет: автономности функционирования указанной технологической системы, ее изолированности от аналогичных систем, связанных с обработкой других, в том числе открытых документов; операционного учета всех технологических действий, производимых с документом или чистым носителем информации; учета и обеспечения сохранности не только документов, но и учетных форм; персональной ответственности сотрудников за сохранность документа и тайну информации; наличия разрешительной системы доступа к документам; постоянного контроля за наличием, комплектностью и правильностью использования документов. Ведение конфиденциального делопроизводства централизуется в самостоятельном подразделении фирмы – службе конфиденциальной документации или в некрупных фирмах возлагается на управляющего делами, менеджера по безопасности или секретаря-референта (референта) первого руководителя.

Документ, документированная информация – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Документ аудиовизуальный – документ, содержащий изобразительную и звуковую информацию.

Документ беловой – рукописный или машинописный документ, текст которого переписан с чернового документа или написан без помарок и исправлений. При автоматизированном изготовлении документов беловиком является машинограмма (твердая копия) или машиночитаемый документ, но не видеограмма.

Документ внутренний – подготовленный документ, не выходящий за пределы подготовившей его организации.

Документ входящий (входной) – документ, поступивший в организацию.

Документ выделенного хранения – ценный документ, изъятый по какой-то причине из дела, оформленный в самостоятельное дело и переведенный на инвентарный вид учета (см. Учет конфиденциальных документов), например документ более ограниченного доступа, чем другие документы дела.

Документ дублетный — один из экземпляров колки документа.

Документ изобразительный – документ, содержащий информацию, выраженную посредством изображения какого-либо объекта.

Документ исходящий (выходной) – подготовленный документ, отправляемый из организации.

Документ конфиденциальный – документ ограниченного доступа, на любом носителе, содержащий информацию, отражающую приоритетные достижения в сфере экономической, производственной, предпринимательской, управленческой и другой деятельности, а также информацию, состав которой является принадлежностью служебной деятельности. Утрата конфиденциального документа может нанести ущерб интересам или деловому успеху собственника или владельца информации. Под конфиденциальным (закрытым) документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения, которые относятся к негосударственной тайне, составляют интеллектуальную собственность юридического или физического лица и подлежат защите. Называть конфиденциальные документы секретными или ставить на них гриф секретности не допускается. Особенностью конфиденциального документа является то, что он представляет собой одновременно: массовый носитель ценной, защищаемой информации; основной источник накопления и распространения этой информации, в том числе ее разглашения, утечки; обязательный объект защиты.

Документ машиночитаемый – официальный документ, созданный дня обеспечения работы вычислительной техники. Например, документы на машиночитаемых носителях, машиночитаемые зоны на бумажных документах и др.

Документ официальный – документ, созданный юридическим или физическим лицом, оформленный и удостоверенный в установленном порядке.

Документ персональный – документ, содержащий персональные данные о гражданине, отражающие в том числе его личную или семейную тайную. Комплекс персональных документов служит инициативным условием возможности установления, изменения или прекращения трудовых правоотношений гражданина с учреждением или фирмой. Однако факт их выдачи или наличия сам по себе эти отношения не устанавливает. Комплекс включает в себя:

• документы, выдаваемые гражданам соответствующими государственными органами, организациями и юридически подтверждающие те сведения, которые граждане сообщают о себе, об образовании, семейном положении и т. д. (паспорт, трудовая книжка, военный билет, диплом, свидетельство, листок нетрудоспособности и др.);

• документы, выдаваемые рабочим и служащим организацией или фирмой по месту работы для подтверждения различных правовых фактов и целевого предоставления: ходатайство, письмо-рекомендация, характеристика, справка, удостоверение, пропуск, командировочное удостоверение и др.;

• документы, составляемые и направляемые гражданами администрации или профсоюзной организации фирмы в целях установления, изменения или прекращения трудовых или иных правоотношений: личные заявления, резюме, объяснительные записки, жалобы и др.;

• служебные документы, характеризующие профессиональные и деловые качества работника и не предназначенные для передачи этому работнику: представление к назначению на должность, аттестационный лист, протокол проведения собеседования, результаты тестирования, биографическая справка и другие документы.

Документ подлинный – документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом докуете или выявленные иным путем, подтверждают достоверность его происхождения. Обычно это оригинал документа, оформленный в установленном порядке и подписанный, т. е. имеющий юридическую силу.

Документ секретный – документ на любом носителе, отнесенный к информационным ресурсам ограниченного доступа и содержащий сведения, составляющие государственную тайну, которые включены в утвержденный специальный перечень таких сведений.

Документ черновой – рукописный, машинописный или электронный документ, отражающий работу автора или редактора над его текстом. Множество черновиков порождает обилие вариантов и редакций документа.

Документальный фонд – совокупность документов, образующихся в деятельности юридического или физического лица.

Документирование – запись информации на различных носителях по установленным правилам. Способы документирования: текстовое, изобразительное, в том числе техническое, фото-, кино (видео)-, фоно (аудио) – документирование, текстовое и техническое документирование с использованием печатающих устройств ЭВМ, документирование на языках общения человека с техническими средствами. Средства документирования: а) простейшие – ручки, карандаши;

б) механические, электромеханические и электронные (пишущие машины, магнитофоны, диктофоны, фото-, кино-, видео– и

аудиотехника, регистрирующие приборы и т. д.; в) средства автоматизированного документирования на базе компьютерной техники.

Документирование конфиденциальной информации – этап стадии исполнения конфиденциального документа. Представляет собой процесс составления документа – запечатления (фиксирования) на выбранном типе носителя его текста, содержащего конфиденциальные сведения. Конфиденциальный документ составляется при наличии серьезных объективных потребностей, а не в силу субъективного желания сотрудника фирмы. Необходимость документирования конфиденциальной информации санкционируется полномочным должностным лицом, которое берет на себя ответственность за распространение защищаемой информации (см. также Составление текста конфиденциального документа).

Документооборот – движение документов в организации с момента их создания или получения до завершения исполнения или отправки. По отношению к организационной структуре выделяется внутренний и внешний документооборот как составной элемент «жизненного цикла» документа.

Документооборот (документопоток) защищенный – контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации. Принципы и направления движения конфиденциальных традиционных и электронных документов в аппарате фирмы едины при любой технологической системе обработки и хранения документов. Меняются методы работы с документами, но технологическая взаимосвязь документооборота с процессом управления сохраняется. Документооборот, как объект защиты, представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации (документов)» процессе управленческой и производственной деятельности пользователей (потребителей) этой информации. В результате увеличивается число источников, обладающих ценными сведениями и расширяются потенциальные возможности для утраты конфиденциальной информации. Защищенность документопотоков достигается за счет: формирования самостоятельных, изолированных потоков конфиденциальных документов и часто – дополнительного их разбиения на подпотоки в соответствии со степенью конфиденциальности перемещаемых документов; использования автономной технологической системы обработки и хранения конфиденциальных документов; регламентации избирательности в доставке информации разрешительной (разграничительной) системой доступа персонала к конфиденциальной информации, документам и базам данных; расчленения (дробления) информации между исполнителями в соответствии с их функциональными обязанностями (см. также Структура потоков (документопотоков) конфиденциальных документов).

Документопоток – движение документов в определенном направлении для облегчения решения управленческих задач. Могут быть: входящий (входной), исходящий (выходной) и внутренний документопотоки. Является обязательной частью любой информационной системы. Документопоток делится на технологические стадии обработки документов в процессе их движения.

Допуск к конфиденциальной информации – чисть разрешительной (разграничительной) системы доступа персонала к конфиденциальной информации, представляет собой процедуру оформления права сотрудника фирмы или иного лица на доступ к информации ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника или владельца информации на передачу ее для работы конкретному лицу. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, цел и баз данных. Оформление допуска всегда носит добровольный характер и отражается в приказе первого руководителя фирмы или соответствующим пунктом в контракте.

Доступ к информации несанкционированный – случайное или преднамеренное овладение конфиденциальными сведениями и возможное опасное воздействие на них лиц, не имеющих права доступа к конкретной защищаемой информации. Доступ, не санкционированный полномочным должностным лицом, считается незаконным. Случайный несанкционированный доступ к конфиденциальной информации возникает в силу обстоятельств или в результате безответственности персонала, работающего с документами, информационными ресурсами ограниченного доступа. Лицо, случайно получившее знание конфиденциальных сведений, обычно не заинтересовано в их запоминании и использовании. Преднамеренный несанкционированный доступ к конфиденциальной информации осуществляет злоумышленник, который целенаправленно организует канал несанкционированного доступа к интересующей его информации. Злоумышленник, получивший информацию, имеет возможность совершить с. ней противоправные действия, использовать в своих целях, нарушить целостность информации или ее сохранность, уничтожить носитель. Владелец информационных ресурсов обязан оповещать собственника этих ресурсов о всех фактах нарушения режима конфиденциальности информации.

Доступ к информации санкционированный – часть разрешительной (разграничительной) системы доступа персонала к конфиденциальной информации, представляет собой практическую реализацию права сотрудника на работу с подобной информацией, необходимой ему для выполнения возложенных на него функций. Доступ санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника фирмы. Разрешение на доступ к конфиденциальным сведения (документам, делам, базам данных и т. п.) всегда является строго персонифицированным (индивидуальным) и дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников может их знать». Должностное лицо, разрешившее доступ сотрудника к конфиденциальным сведениям, несет персональную ответственность за правильность принятого решения. Аналогичным образом персональную ответственность за сохранность носителя и конфиденциальность информации несет сотрудник, получивший доступ к конкретной информации.

Доступ к компьютеру — санкционирование полномочным должностным лицом работы сотрудника с определенным составом вычислительной техники. Предусматривает: регламентацию состава сотрудников, имеющих право входа в помещение, в котором находится соответствующая вычислительная техника, средства связи; регламентацию временного режима нахождения этих. лиц в указанных помещениях; персональное и временное протоколирование разрешения и периода работы этих лиц в иное время (вечернее, выходные дни); организацию охраны этих помещений в рабочее и нерабочее время, определение порядка снятия помещений с охраны и отключения охранных технических средств, определение порядка постановки помещений на охрану; организацию контролируемого, пропускного режима входа в указанные помещения; регламентацию действий охраны и персонала и экстремальных ситуациях; контроль вносимых и выносимых из помещения персоналом машинных и бумажных носителей информации, оборудования и личных вещей. По окончании рабочего дня конфиденциальная информация переносится на дискеты, которые сдаются в службу конфиденциальной документации. Информация на жестких дисках компьютеров стирается. Однако помещение подлежит охране, так как в неохраняемые компьютеры легко установить средства технической разведки (см. Средства несанкционированного доступа к информации) или специальными методами восстановить информацию на жестких дисках.

Доступ к базам данным и файлам – санкционирование полномочным должностным лицом работы сотрудника с определенным составом конфиденциальных сведений и файлов. Предусматривает: определение и регламентацию состава сотрудников, допускаемых к работе с определенными конфиденциальными базами данных и файлами; контроль доступа персонала администратором базы данных; фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к базам данных и файлам; учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов; регистрацию (протоколирование) входа в базу данных или файл, автоматическую регистрацию имени пользователя и времени работы, сохранение первоначальной информации; регистрацию (протоколирование) попыток несанкционированного входа в базу данных или файл, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера; установление и бессистемное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификационных идентификаторов, ключевых слов); отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации; блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя.

Доступ к машинным носителям, находящимся вне ЭВМ – санкционирование полномочным должностным лицом работы сотрудника с определенным составом носителей информации. Предусматривает: организацию оформления, учета и выдачи сотрудникам чистых технических носителей информации; организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных); регламентацию состава сотрудников, имеющих право работать с конфиденциальной информацией на компьютере и получать в службе конфиденциальной документации учтенные носители информации; организацию системы закрепления за сотрудниками технических носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации; организацию порядка уничтожения информации на носителе (форматирования носителя и порядка его физического уничтожения); организацию хранения носителей в службе конфиденциальной документации в рабочее и нерабочее время, порядок эвакуации носителей в экстремальных ситуациях; определение и регламентацию состава сотрудников, не сдающих по объективным причинам машинные носители информации на хранение в службу конфиденциальной документации в конце рабочего дня, организацию особой охраны помещений» компьютеров этих сотрудников. Работа сотрудников службы конфиденциальной документации с техническими носителями информации должна быть организована по аналогии с бумажными конфиденциальными документами.

Дубликат документа – повторный экземпляр подлинника документа, имеющий юридическую силу.

Единица хранения архивных документов – учетная и классификационная единица, представляющая собой физически обособленный документ или совокупность документов, имеющих самостоятельное значение.

Защита информации – практическая реализация комплексной программы (концепции) информационной безопасности фирмы, жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступ нести, целостности, достоверности и конфиденциальности ценных информационных ресурсов и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы. В данном случае безопасность расценивается в качестве реального результата, достигнутого за счет функционирования выбранной системы защиты информации. Предполагается, что защита конфиденциальной информации (или защита секретов) осуществляется от различного шла угроз безопасности информации, прежде всего – несанкционированного доступа к ней злоумышленника. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Защиты требует не только конфиденциальный документ. Часто обычный открытый правовой акт важно сохранить в целостности и безопасности от похитителя или стихийного бедствия.

Защита информации в публикаторской и выставочной деятельности – направление обеспечения безопасности информации, предусматривающее заблаговременный анализ и экспертизу предназначенной для широкого оглашения любой информации о деятельности фирмы и ее продукции в целях обнаружения в содержании или элементах отображения этой информации (таблицах, формулах, рисунках, фотографиях, схемах) конфиденциальных сведений или намека на наличие таких сведений. Подобная информация должна, как правило, анализироваться от противного – с точки зрения того интереса, который будет проявлен к ней конкурентами, и объема полезных сведений, извлекаемых конкурентом из ее содержания. При рекламировании потребительских достоинств и возможностей новой продукции не должна раскрываться сущность технологических новшеств, технологических секретов, за счет которых достигнуты эти достоинства. Материалы, не прошедшие экспертизу, опубликованию не подлежат. Экспертиза включает также последующий контроль всех опубликованных о фирме материалов, сообщений средств массовой информации, рекламных изданий и выставочных проспектов. Помимо этого анализируются подобные материалы других фирм для определения возможной утраты данной фирмой ценных сведений.

Защита информации в службе персонала – направление обеспечения безопасности информации фирмы в части сохранения конфиденциальности персональных данных, которые формируются в процессе документирования трудовых правоотношений сотрудников с фирмой. В состав документации, содержащей персональные данные, входят: приказы по личному составу, комплексы документов кандидатов на должность, комплексы материалов по анкетированию, тестированию кандидатов на должность, проведению собеседований (строго конфиденциальны), личные дела сотрудников, их трудовые книжки; дела, содержащие основания к приказам по личному составу, учетно-справочный аппарат (картотеки, журналы учета, базы данных), отчетные, аналитические и справочные материалы. Кроме того, конфиденциальной является организационная, распорядительная и инструктивная документация службы персонала, документы по планированию, контролю и анализу эффективности работы службы. Эта документация раскрывает технологию работы службы, распределение обязанностей среди сотрудников и другие ценные для злоумышленника сведения. Система защиты информации в службе персонала должна предусматривать: четкое распределение функций между сотрудниками, закрепление за каждым сотрудником необходимых ему для выполнения функциональных обязанностей массивов документов и информации, установление персональной ответственности этих сотрудников за сохранность носителей и конфиденциальность информации, проведение регулярных проверок наличия документов и материалов, регламентацию порядка ведения работы с посетителями и справочной работы и т. п. Не менее важно правильно организовать рабочие места сотрудников службы, перекрыть технические каналы утечки информации, организовать охрану помещения с использованием современных технических средств.

Защита информации при ведении переговоров и совещаний – направление обеспечения безопасности информации, которое распространяется в процессе этих мероприятий. К требованиям защиты относятся: заблаговременная регламентация состава участников по каждому обсуждаемому вопросу, проведение переговоров, совещаний в специально подготовленном, выделенном помещении, контроль доступа участников переговоров и совещаний отдельно по каждому вопросу, регламентация порядка документирования хода переговоров и совещаний, их результатов и порядка рассылки принятых документов. Первый руководитель фирмы должен установить максимально возможный состав конфиденциальных сведений, который может быть сообщен сотрудниками фирмы участникам переговоров или совещаний. Информация оглашается при условии предупреждения участников указанных мероприятий о ее конфиденциальности, а иногда – после подписания ими обязательство сохранении ее в тайне. Участники переговоров от фирмы должны заранее выработать тактику ведения переговоров и соответствующую динамику (очередность) оглашения конфиденциальной информации, а также определить условия возникновения в этом рабочей необходимости. Целесообразно строить переговоры таким образом, чтобы сообщаемые конфиденциальные сведения всегда были минимальными по составу и объему.

Защита информации при приеме посетителей – направление обеспечения безопасности информации, предусматривающее классификацию посетителей фирмы, по степени их деловых отношений с фирмой (клиенты, партнеры, представители других организационных структур, частные лица), по степени разрешенного им доступа в помещения фирмы (во все помещения, только в определенные помещения, только к определенному сотруднику, только в операционный зал), по степени разрешенного им ознакомления с информацией фирмы (только с рекламными изданиями, только с материалами, касающимися заинтересованной структуры или лица, только с материалами по определенному вопросу, только с открытыми материалами фирмы, только с конкретными конфиденциальными сведениями). Любые разрешительные действия в отношении посетителей совершаются первым руководителем фирмы, обеспечиваются и контролируются службой безопасности. При входе в служебные помещения фирмы (кроме операционного зала общего доступа) посетитель обязан предъявить документ, удостоверяющий его личность (но не визитную карточку). Ему выдается соответствующий визуальный идентификатор (пропуск), регламентирующий его права в помещениях фирмы. При выходе идентификатор должен быть сдан. Перемещение посетителя в здании фирмы осуществляется только в сопровождении полномочного сотрудника фирмы – секретаря руководителя, сотрудника, с которым посетитель обговорил заблаговременно свой визит, сотрудника службы безопасности. Факт ознакомления посетителя с любым документом фирмы фиксируется сотрудниками служб конфиденциальной или открытой документации фирмы в учетной форме этого документа; на самом документе посетитель ставит роспись ознакомления, расшифровку росписи, наименование представляемой организации и дату. При приеме частных (иногда случайных) лиц руководители и сотрудники ведут беседу не в рабочих комнатах, а в специально предназначенном для этого помещении, в присутствии секретаря или сотрудника службы безопасности.

Злоумышленник – лицо (группа лиц), предполагающее совершить или умышленно совершающее противоправные действия с целью овладения информацией, составляющей тот или иной вид тайны. К злоумышленникам относят недобросовестных конкурентов и партнеров, лиц, действующих в их в интересах, профессиональных агентов, занимающихся промышленным или экономическим шпионажем, агентов, информаторов, представителей криминальных структур, отдельных преступных элементов, психически больных лиц, работника данной фирмы, сотрудничающего со злоумышленником, иных лиц, пытающихся нанести ущерб фирме, ее руководству или персоналу. Понятие «злоумышленник» тесно связано с понятием «постороннее лицо».

Идентификатор — персональное обозначение (код; шифр, имя, пропуск, персональная карточка определенного цвета с фотографией, магнитная или иная карта и т. п.), позволяющее однозначно выделить идентифицируемый объект среди других в полном множестве объектов. Используется в системах доступа.

Идентификация пользователя — отождествление лиц по их характеристикам или путем опознавания по приметам или документам в целях определение полномочий, связанных с доступом к конфиденциальной информации. Присвоение имени пользователю информационной системы, потребителю информации.

Изготовление конфиденциального документа – этап стадии исполнения конфиденциального документа. Осуществляется централизованно в службе конфиденциальной документации с санкции полномочного должностного лица, а не по инициативе исполнителя. Перед изготовлением беловика документа производится учет — присвоение единого учетного номера черновику и проекту будущего документа. Одновременно на еще не изготовленный документ заполняется комплект учетных форм. Полученный черновиком учетный номер (номер по учету подготовленных документов) будет сопровождать документ в течение его последующего «жизненного цикла». В учетной карточке отражается последовательно ход работы над проектом документа в процессе его изготовления, издания, последующего исполнения или отправки (см. Конвертование конфиденциальных документов), хранения или уничтожения. Обязательно учитываются проекты конфиденциальных электронных документов, факсов, телеграмм. Этим обеспечивается контроль службы конфиденциальной документации за сохранностью черновика, проекта, самого документа и всех материалов к нему. Изготовление документа включает в себя следующие процедуры: прием работником службы конфиденциальной документации от исполнителя черновика документа; традиционный или автоматизированный учет черновика и проекта будущего документа; печатание и выдача черновика и проекта документа исполнителю; перепечатывание отдельных листов и документа в целом; снятие копий с документа, производство выписки и изготовление дополнительных экземпляров документа; ежедневная проверка наличия у работника службы конфиденциальной документации черновиков и документов, находящихся на этапе изготовления. На последнем листе всех экземпляров отпечатанного документа на лицевой или оборотной стороне проставляются номер документа, фамилия исполнителя и номер его телефона, количество экземпляров и адресность каждого из них. Может указываться номер магнитного носителя, с которого печатался документ.

Издание конфиденциального документа — этап стадии исполнения конфиденциального документа. Представляет собой процесс придания подготовленному документу юридической силы, преобразование беловика документа в подлинник. Включает следующие процедуры: заключительное корректирование текста и подготовка документа к изданию (подбор необходимых материалов, предыдущих документов, уточнение фамилий, сроков исполнения и т. п.); итоговое внутреннее согласование документа (предварительное согласование проводилось при работе над черновиком и проектом документа); внешнее согласование документа; подписание документа руководителем; утверждение, одобрение, разрешение использования документа (при необходимости).

Инженерно-технический элемент системы защиты информации — комплекс организационно-технических, технических и технологических мероприятий защиты информации, предназначенных для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью совокупности технических средств. Элемент включает: сооружения инженерной (физической) защиты от проникновения посторонних лиц на территорию, в здание и помещения фирмы; средства защиты технических каналов распространения и возможной утечки информации; средства защиты помещений от визуальных способов технической разведки; технические средства обеспечения охраны фирмы; средства противопожарной охраны; средства обнаружения приборов и устройств технической разведки; средства противодействия этим приборам и устройствам, технические средства контроля, предотвращающие вынос Персоналом из помещений специально маркированных предметов, документов, дискет.

Интеллектуальная собственность – исключительное право юридического или физического лица на результаты интеллектуальной деятельности, творческого труда (информационный продукт), имеющего конкретную ценность для собственника или владельца этих результатов. Обычно выделяются два вида информации, интеллектуально ценной для предпринимателя, его собственной, частной информации: а) техническая или технологическая (ценная идея, технологическое новшество, ноу-хау, новое знание, параметры, формулы, рецептуры, результаты испытаний опытных образцов и т. п.) и б) деловая (творческое решение управленческой или иной проблемы, результаты исследования рынка, экономические показатели, прогнозы, стратегия действий на рынке, реорганизация структуры фирмы и т. п.).

Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Документирование информации (создание официального документа) является обязательным условием включения информации в информационные ресурсы. По принадлежности к тому или иному виду собственности информационные ресурсы могут быть государственными или негосударственными и как элемент состава имущества находятся в собственности граждан, органов государственной и исполнительной власти, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур. Информационные ресурсы могут быть товаром, за исключением случаев, предусмотренных законодательством Российской Федерации. В соответствии с интересами обеспечения национальной и экономической безопасности и степенью ценности для государства, а также правовыми, экономическими и другими интересами предпринимательских (негосударственных) структур информационные ресурсы могут быть: а) открытыми, т. е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях, интервью и т. п., и б) ограниченного доступа и использования.

Информационные ресурсы ограниченного доступа – документы и массивы документов, содержащие сведения, отнесенные к тому или иному виду тонны и подлежащие защите, охране, наблюдению и контролю. Документированная информация с ограниченным доступом по условиям ее правового статуса подразделяется на информацию, отнесенную к государственной тайне — секретную и отнесенную к негосударственной тайне – конфиденциальную.

Информационный продукт – документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей пользователей, потребителей.

Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информация защищаемая – синоним понятий информация секретная и информация конфиденциальная. Информация может быть отнесена к категории защищаемой, если ее содержание неизвестно конкуренту или противнику, а также, если указанная неизвестность дает определенные преимущества в политической, экономической или предпринимательской деятельности. При отнесении информации к защищаемой должны соблюдаться принципы законности, обоснованности, своевременности и др.

Информация конфиденциальная – документированная информация, относимая к одному из видов негосударственной тайны или персональным данным, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Решение о таком ограничении принимает собственник или владелец указанной информации, т. е. он устанавливает правовой режим информации, являющейся его интеллектуальной собственностью (кроме персональных данных). Ограничение предполагает наличие особых правил документирования конфиденциальной информации, работы с ней персонала, специальной технологической системы обработки и хранения этой информации. Информация может быть отнесена к конфиденциальной при соблюдении следующих условий: информация не должна отражать негативные стороны деятельности фирмы; информация не должна быть общедоступной или общеизвестной; возникновение или получение информации предпринимателем должно быть законным и связанным с расходованием материального, финансового или интеллектуального потенциала фирмы; предпринимателем должны быть выполнены реальные действия по защите этой информации и обучению персонала фирмы работе с ней. Конфиденциальными не могут быть сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей; сведения о численности и составе работающих, их заработной плате, а также другие сведения, установленные законодательством и постановлениями Правительства Российской Федерации.

Информация секретная – сведения, которые в соответствии с Законом Российской Федерации «О государственной тайне» и утвержденными государственным, отраслевыми и ведомственными перечнями содержат государственные секреты.

Информация ценная — информация, которая составляет интеллектуальную собственность предпринимателя или группы предпринимателей и дает им возможность производить качественную продукцию, товары и услуги, пользующиеся повышенным спросом на рынке, заключать выгодные сделки, находить новых клиентов, покупателей как самой продукции, так и технологии ее производства. Подобная информация охраняется нормами авторского и смежного права, патентного права, товарным знаком, знаком обслуживания или защищается включением ее в категорию конфиденциальной. Ценная информация образуется в производственной и деловой сферах деятельности предпринимателя – в прогнозировании и планировании этой деятельности, управлении фирмой, финансовой, производственной и торговой деятельности, формировании ценовой политики и состава компаньонов, партнеров и поставщиков, потребителей продукции, изучении состава и направлений деятельности конкурентов фирмы, проведении научной и исследовательской деятельности, использовании новых технологий, подборе и управлении персоналом, организации экономической безопасности фирмы. Определение состава ценных деловых и технологических сведений основывается на принципе экономической целесообразности и оценивается стоимостными показателями, размерами упущенной выгоды и убытков фирмы при утрате информации, а также размером прибыли от использования этой информации с учетом затрат на ее защиту. Часто информация становится ценной ввиду ее правового значения для фирмы (учредительные документы, контракты и др.).

Исполнение конфиденциального документа – процесс составления и оформления официального документа. В отличие от открытых документов стадия исполнения конфиденциальных документов включает ряд дополнительных технологических этапов и процедур, обеспечивающих сохранность носителя и конфиденциальность документируемой информации. Стадия включает в себя следующие технологические этапы: установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ; оформление и учет носителями» документирования данной конфиденциальной информации; документирование информации, изготовление конфиденциального документа, издание документа. Указанные этапы характеризуются не только регламентированной технологией, но и жесткими правилами работы персонала с конфиденциальным документом.

Использование конфиденциального документа – включение документа в информационно-документационную систему, обеспечивающую исполнение других документов, выполнение управленческих действий и принятие решений. Для использования в работе обычно поступают: законодательные акты, организационно-правовые, нормативные, распорядительные, справочно-информационные документы, разнообразные рекламные издания и научно-техническая информация.

Источник конфиденциальной информации – объективно пассивный накопитель (концентратор) конфиденциальной информации. В научной литературе часто используется альтернативный для сферы защиты информации термин – «носитель конфиденциальной информации» по аналогии с термином «секретоноситель». К основным видам источников относятся: традиционные и электронные документы, базы данных, персонал фирмы и окружающие ее люди, физические поля, сопровождающие работу вычислительной и другой офисной техники, публикации о фирме и ее разработках, рекламные издания, выставочные материалы. Каждый из источников делится на множество подвидов. Классификация источников конфиденциальной информации, сопровождающих работу конкретной фирмы, является одной из главных составных частей аналитической работы по выявлению каналов несанкционированного доступа к конфиденциальной информации и обеспечению безопасности информации» каждом источнике.

Источник угрозы конфиденциальной информации – объективные и субъективные явления, события, факторы, действия и обстоятельства, содержащие опасность для ценной информации. К объективным источникам можно отнести: экстремальные ситуации, несовершенство технических средств и др. Субъективные источники связаны с человеческим фактором и включают злоумышленников различного рода, посторонних лиц, посетителей, неквалифицированный или безответственный персонал, психически неполноценных людей, сотрудников, обиженных руководством фирмы, и др. Источники угрозы могут быть внешними и внутренними. Внешние источники находятся вне фирмы и представлены чрезвычайными событиями, а также организационными структурами и физическими лицами, проявляющими определенный интерес к фирме. Внутренние источники угрозы связаны с фатальными событиями в здании фирмы, а также с персоналом. Однако наличие источника угрозы само по себе не является угрозой. Угроза реализуется в действиях.

Канал несанкционированного доступа к информации – совокупность незащищенных или слабо защищенных фирмой направлений возможной утраты конфиденциальной информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой информации. В основе выявления возможного канала несанкционированного доступа лежит взаимодействие злоумышленника с источником информации или преобразование канала объективного распространения информации в канал ее утраты. Этот процесс требует проведения поисковой и аналитической работы и организуется тайно. Каждая фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов – профиля деятельности, объема защищаемой информации, совершенства применяемой системы защиты информации и противодействия злоумышленникам, эффективности аналитической работы, профессионального уровня персонала, местоположения здания фирмы и др. Канал несанкционированного доступа может быть организационным и техническим и обеспечиваться легальными и нелегальными методами.

Канал несанкционированного доступа организационный – направление несанкционированного доступа злоумышленника к конфиденциальной информации, включающее в себя: установление разнообразных, в том числе законных, взаимоотношений злоумышленника с фирмой (поступление на работу в фирму, участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обманных способов, разрешенная или не разрешенная работа с документом, делом, базой данных и т. п.); сотрудничество с работником фирмы или лицом, имеющих доступ к документации фирмы; тайное или по фиктивными документам проникновение в здание фирмы, помещения, незаконное получение документов, информации; использование коммуникативных связей фирмы (участие в конфиденциальных совещаниях и переговорах, переписке с фирмой и др.). Организационный канал в большинстве случаев основывается на таком распространенном явлении, как случайное или умышленное разглашение конфиденциальной информации персоналом фирмы. Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией и прогнозировать их сложно.

Канал несанкционированного доступа технический – физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику. Основывается на применении злоумышленником специальных технических средств разведки, позволяющих получить защищаемую информацию без непосредственного контакта с источником, владеющим этой информацией. Канал возникает: при анализе злоумышленником физических полей и излучений, появляющихся в процессе работы вычислительной и другой офисной техники, при перехвате информации, имеющей звуковую, визуальную или иную форму отображения. Основными видами технических каналов являются: акустический, электромагнитный, визуально-оптический и др. Каналы носят стандартный характер и перекрываются также стандартным набором средств противодействия. Это каналы прогнозируемые. Часто используются злоумышленником одновременно с трудно прогнозируемыми организационными каналами.

Канал объективного распространения конфиденциальной информации — путь перемещения конфиденциальных сведений из одного источника в другой в качестве санкционированного (разрешенного, законного) действия или в силу объективных закономерностей. Указанный канал отличается активностью и включает в себя: деловые, управленческие, торговые, научные и другие коммуникативные регламентированные связи, информационные сети, естественные технические каналы излучения, создания фона, поля. Например: обсуждение конфиденциального вопроса на закрытом совещании, передача документа на исполнение, запись на бумаге изобретения, переговоры с потенциальным партнером, работа на ЭВМ и др.

Картотека учетная – традиционный справочно-информационный банк данных по конфиденциальным документам при любых видах учета. Разновидность учетных картотек: валовая нумерационная картотека, в которой карточки располагаются в последовательности учетных номеров документов; картотека на неисполненные документы, в которой карточки располагаются по исполнителям (картотека «За исполнителями»); справочная картотека на исполненные документы, в которой карточки располагаются по корреспондентам, рубрикам номенклатуры дел или другому удобному для использования признаку; кодификационная картотека по распорядительным документам; контрольная сроковая картотека.

Карточка архивного фонда — учетный документ, содержащий название, сведения о количестве, составе документов архивного фонда и месте его хранения, предназначенный для централизованного государственного учета архивных документов.

Коллегиальность контроля – один из важнейших методов обеспечения сохранности носителя и конфиденциальности информации. Предусматривает регулярную проверку вторым сотрудником службы конфиденциальной документации полноты охвата учетом всех поступивших и подготовленных документов, чистых носителей информации, правильности заполнения учетных форм, указания местонахождения документа, правомерности передачи документов. Коллегиально ведется проверка наличия документов, уничтожение документов и проверка соблюдения исполнителями порядка работы с конфиденциальными документами.

Конвертование (пакетирование) конфиденциальных документов – совокупность технических приемов, предотвращающих несанкционированное тайное вскрытие конвертов (пакетов) и извлечение из них конфиденциальных документов, а также прочтение текста без извлечения документа и даже вскрытия конверта. Несанкционированно вскрытый конверт не может быть восстановлен, что сигнализирует об утрате документом конфиденциальности или его подмене. К указанным приемам относятся: использование светонепроницаемых конвертов, имеющих также защиту от современных способов прочтения текста документа, надежное заклеивание клапанов конвертов для предотвращения «отпаривания» мест склейки, прошивание конверта и документа прочной нитью, опечатывание концов нити и мест склейки. При пересылке документов часто используется «двойное пакетирование», т. е. вкладывание опечатанного и прошитого конверта с грифом конфиденциальности в другой конверт, не имеющий указанных особенностей в оформлении. Это позволяет избежать проявления любопытства посторонних лиц к опечатанному конверту.

Контроль доступа – регулярные проверочные действия по определению правомерности разрешений на доступ и доступа сотрудников фирмы и представителей других организационных структур в помещения фирмы, к конфиденциальным документам, делам, базам данных, компьютерам и средствам связи. Осуществляется службой безопасности фирмы и направлен на предотвращение или выявление фактов необоснованного разрешения на доступ, а также несанкционированного доступа в выделенные помещения, к защищаемой информации и документам, охраняемому оборудованию фирмы. При ведении контроля используются сведения, фиксируемые в учетных формах традиционных и электронных документов и дел, учетных формах степени осведомленности сотрудников в тайне фирмы, протоколах доступа к электронным базам данных, машинных журналах, учетных формах выдачи сотрудникам и посетителям идентификаторов (пропусков), учетных формах посещения выделенных помещений. Контроль доступа является также одной из основных функциональных обязанностей работников службы конфиденциальной документации.

Контроль эффективности системы защиты информации — анализ степени уязвимости конфиденциальной информации. Осуществляют в негосударственных структурах органы государственной власти в порядке, определяемом Правительством Российской Федерации. На уровне фирмы собственный контроль эффективности системы защиты информации является функцией службы безопасности и проводится путем регулярного анализа, соответствия структуры системы защиты информации реальным и потенциальным угрозам безопасности конфиденциальной информации фирмы и соответствующей степени противодействия этим угрозам. Результатом контрольной работы становится разработка предложений по совершенствованию системы защиты информации, усложнению системы или ее упрощению вплоть до отказа от подобной системы. В основе указанных предложений должна лежать идея максимально возможного снижения степени уязвимости конфиденциальной информации.

Конфиденциальность (лат. confidentia – доверие) – доверительность, секретность. Неоглашаемая, доверительная, задушевная беседа, письмо, сообщение, полученное по доверенности, тайное общение, тайные переговоры, беседы, документирование с использованием тайнописи.

Конфиденциальность информации – синоним секретности информации. Вместе с тем термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне (подробнее см. Информация конфиденциальная).

Копирование и тиражирование конфиденциальных документов — расширение числа источников защищаемой информации. Осуществляется в условиях, гарантирующих сохранность всех используемых носителей и конфиденциальность информации. Условия предусматривают: наличие письменного разрешения полномочного должностного лица на снятие копии с документа или его размножение, учет изготовленных копий и размноженных экземпляров, учет печатных форм и коллегиальность их уничтожения, учет выдачи исполнителю документа, его копий и экземпляров. Копирование и размножение конфиденциальных документов осуществляется централизованно в службе конфиденциальной документации. Выполнение этих процедур на рабочих местах исполнителей не разрешается. Аналогичным образом копируются электронные документы, создаются их страховые и резервные копии.

Копия документа – документ, полностью воспроизводящий информацию оригинала документа и все его внешние признаки или часть их, не имеющий юридической силы. Копия части документа называется выпиской. Выделяют копии рукописные и машинописные, а также факсимильные, изготовленные с помощью копировальной техники.

Копия документа заверенная — копия документа, на которой в соответствии с установленным порядком проставляют необходимые реквизиты, придающие ей юридическую силу. Копия может быть нотариально заверенной или заверенной в установленных законом случаях соответствующим должностным лицом (например, работником отдела кадров). Копией является дубликат документа.

Копия конфиденциального документа страховая, резервная – воспроизведение на бумажном носителе электронного конфиденциального документа и (или) его электронной учетной формы, электронных описей документов с целью обеспечения сохранности информации в случаях утраты документов в компьютере по техническим причинам. Одновременно со страховыми копиями на бумажном носителе изготовляется на магнитном носителе резервная копия документа, учетной формы, описей. Объективно необходимое увеличение числа источников, содержащих конфиденциальную информацию, осложняет процесс ее защиты и может стать причиной утраты конфиденциальности информации.

Криптографический элемент системы защиты информации — комплекс способов и средств защиты конфиденциальной информации методами криптографии. Элемент включает: регламентацию использования различных криптографических методов в ЭВМ и локальных сетях; определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи; регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи; регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.

Криптография – тайнопись, система разнообразных способов изменения формы отображения информации (текста, речи), позволяющих сделать содержание информации непонятным для лиц, не владеющих знанием использованного

шифра. Криптографические методы представляют собой шифрование, кодирование, сжатие, расчленение (разнесение) информации. Криптография входит составной частью в понятие криптологии, в которое включается также криптоанализ – дешифрование текста или речи известным ключом или без него.

Лицензирование в области защиты информации – установленное законодательством право заниматься работами по защите информации для стороннего заказчика. Предоставляется организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию). Необходимость этого лицензирования определяется тем, что собственникам конфиденциальной информации нужна доброкачественная продукция, действительно обеспечивающая защиту информации. В то же время проведение работ по защите информации в собственных нуждах приобретения лицензии не требует.

Машинограмма – документ, изготовленный автоматически средствами вычислительной техники (например, с помощью принтера) на бумажном носителе в человекочитаемой форме и предназначенный для оформления в установленном порядке.

Методы защиты информации – выборочно применяемые универсальные и специфические способы (приемы, меры, мероприятия) реализации элементов системы защиты информации и входящих в них содержательных частей для формирования комплексной и индивидуальной структуры данной системы. К универсальным способам можно отнести: регламентацию процесса, выделение процесса, скрытие процесса или информации, ограничение доступа к процессу или информации, дезинформацию конкурента нл» злоумышленника, расчленение (дробление) информации, тайны, создание физических и иных препятствий на пути злоумышленника (рубежей защиты). Специфические способы обеспечивают индивидуализацию системы в зависимости от поставленных задач защиты информации в конкретной фирме.

Методы легального получения информации— вид «невинного шпионажа», отличающийся правовой безопасностью, но предопределяющий возникновение интереса к конкурирующей фирме, необходимости обнаружения или формирования и использования каналов несанкционированного доступа к ее ценной, конфиденциальной информации. В основе реализации методов лежит кропотливая аналитическая работа специалистов-экспертов над опубликованными и общедоступными материалами конкурирующей фирмы. Одновременно исследуется продукция фирмы, рекламные издания, сведения, полученные в процессе официальных или неофициальных бесед и переговоров с сотрудниками фирмы, материалы пресс-конференций, презентаций, научных симпозиумов, сведения, получаемые из информационных сетей. Легальные методы дают злоумышленнику основную массу необходимой, интересующей его информации и формулируют задачу по добыванию нелегальными методами отсутствующих сведений.

Методы нелегального получения информации — всегда носят незаконный характер и используются в целях несанкционированного доступа к. защищаемой информации, которую невозможно получить легальными методами. В основе нелегального получения информации лежит поиск злоумышленником существующих в фирме и наиболее эффективных в конкретных условиях незащищенных организационных и технических каналов несанкционированного доступа к информации, формирование таких каналов при их отсутствии и реализация плана практического комплексного использования этих каналов. Нелегальные методы предполагают: воровство, копирование, продуманный обман, подслушивание разговоров, использование болтливости, безответственности и низкого профессионализма персонала, подделку идентифицирующих документов, взяточничество, склонение к сотрудничеству, подкуп, шантаж, использование болезненного состояния сотрудника, провоцирование персонала на ошибочные действия, инсценирование или организацию экстремальных ситуаций, применение различных криминальных приемов. При использовании нелегальных методов часто образуется агентурный канал добывания ценной, конфиденциальной информации. К нелегальным методам относятся: перехват информации объективно распространяемой по техническим каналам, визуальное наблюдение за помещениями фирмы и персоналом, анализ продуктов и объектов, содержащих следы защищаемой информации, анализ архитектурных особенностей объектов защиты, анализ отходов производства, мусора, выносимого из офиса, и др.

Номенклатура конфиденциальных дел – документ,

предназначенный для систематизации заводимых в фирме конфиденциальных дел. Решает задачи учета формируемых дел (номенклатурного учета дел), обеспечения проверки наличия документов и дел, закрепления схемы разрешительной системы доступа сотрудников фирмы к делам, учета законченных сформированных дел (закрытых дел), учета движения, использования и уничтожения архивных документов и дел до передачи их в ведомственный архив (архив фирмы). В соответствии с этими задачами табличная часть номенклатуры имеет следующие специфические графы: гриф конфиденциальности дела, фамилия сотрудника (исполнителя), которому предоставлено право пользования делом, отметка о движении дела, отметка о проверке наличия дела.

Нормативно-методическое обеспечение системы защиты информации – комплекс документов, регламентирующих процесс функционирования системы защиты информации, сформированной в целях безопасности информации конкретной фирмы, а также регламентирующих функционирование службы безопасности этой фирмы. Включает ряд обязательных организационных, инструктивных и информационных документов, которые закрепляют принципы, требования и способы предотвращения или ограничения сферы реализации пассивных и активных угроз конфиденциальной информации. Важнейшими организационными документами являются: положение о службе безопасности, положение о службе конфиденциальной документации, должностные инструкции работников указанных служб и др. Технологические инструктивные документы представлены: перечнем сведений, составляющих тайну фирмы, инструкцией по обеспечению безопасности конфиденциальной информации, инструкцией по обработке, хранению и движению конфиденциальных документов и др. Информационные (методические, советующие, обучающие) документы – правила, требования, указания, методики, памятки и др., которые детализируют процессы защиты информации в отношении отдельных групп информации и документов, отдельных категорий сотрудников фирмы в конкретных типовых ситуациях.

Носитель конфиденциальной документированной информации (документа) – материальный объект, предназначенный для документирования (фиксирования, закрепления) и хранения на нем конфиденциальной информации в целях передачи ее во времени и пространстве. Носители могут быть традиционными бумажными или картонными: листы бумаги, ватмана, координатной бумаги, книги, тетради, журналы учета, картонные учетные карточки, неперфорированные и перфорированные бумажные ленты. Эти носители используются для нанесения на них информации рукописным, машинописным или автоматическим способами. К традиционным относятся также фотографические носители информации: фото– и кинопленка, фотобумага, слайды, микрофотопленки, фотографические фонограммы. Широкое современное и перспективное значение имеют технические магнитные носители документированной информации: магнитные ленты, диски, дискеты и др. для обеспечения работы ЭВМ, магнитные карты для идентификации личности человека, магнитные носители для видео– и аудиозаписи. В качестве носителей конфиденциальной информации используются также лазерные и иные диски, пластиковые карты и др. Носители могут быть чистыми, могут содержать черновую, первоначальную, неоформленную информацию, рабочие записи, могут иметь информацию в оформленном виде и являться документами. Чистые, оформленные носители конфиденциальной информации подлежат учету (см. Оформление и учет носителей конфиденциальной информации).

Обработка изданных документов – технологическая стадия, в процессе которой выполняются технологические этапы процедуры и операции по отправке документов адресатам или передаче внутренних документов для использования в управлении основной деятельностью фирмы. Осуществляется централизованно службой конфиденциальной документации в рамках традиционной или автоматизированной системы. Стадия обработки изданных документов делится на два этапа: а) этап передачи в службу конфиденциальной документации и обработки документов, предназначенных для отправки, и б) этап передачи в эту службу и обработки внутренних документов. Первый этап включает процедуры: получения от исполнителя всех экземпляров документа и материалов, возникших при его подготовке, а также инициативного документа, послужившего основанием для издания подготовленного документа; уничтожения черновиков, вариантов и других потерявших ценность материалов; получения документа с другого вида учета (инвентарного, архивного и др.); конвертования (пакетирования) документа, оформления реестра или записи в разностной книге; внесения отметки в учетную форму документа; отправления конвертов (пакетов), телексов, факсов и др.; внесения отметки службы доставки в реестр, разносную книгу и другие формы. Второй этап включает те же процедуры, но вместо процедур подготовки к отправке и отправки выполняются процедуры: передачи документа соответствующему руководителю или исполнителю; исполнения и возвращения документа от исполнителя; передачи документа на другие виды учета.

Обработка поступивших документов – технологическая стадия, в процессе которой выполняются процедуры проверки соответствия характеристик конфиденциальных документов записям в журнале учета пакетов, проверки комплектности и целостности документов, учета поступивших документов в соответствующих учетных формах, внесения учетного номера документа в журнал учета пакетов, ежедневного контроля полноты учета всех поступивших документов, распределения конфиденциальных документов по руководителям и исполнителям. Осуществляется централизованно службой конфиденциальной документации. При распределении документы делятся на группы: а) передаваемые на резолюцию конкретным полномочным руководителям с целью принятия решения и определения состава допускаемых к документу исполнителей; б) передаваемые непосредственно руководителям подразделений или исполнителям в соответствии с утвержденной схемой доступа к документам типового содержания без резолюции руководителя (см. также Передача конфиденциальных документов руководителям и исполнителям).

Обязательство о неразглашении конфиденциальных сведений – правовой документ, добровольное письменное согласие претендента на должность, сотрудника фирмы или иного лица на ограничение его права в отношении использования конфиденциальной информации фирмы. Одновременно в обязательстве (подписке) указанные лица предупреждаются об ответственности за разглашение этой информации. Состав конфиденциальных сведений, с которыми они будут работать, сообщается только после подписания обязательства. Целесообразно, чтобы обязательство подписывали все сотрудники фирмы и лица, связанные с фирмой деловым и отношениями, в том числе не имеющие отношения к конфиденциальным сведениям, но располагающие возможностью ознакомиться с ними при исполнении служебных обязанностей. Обязательство подписывается также увольняющимся сотрудником.

Ознакомление с конфиденциальным документом – процесс информирования сотрудника фирмы или иного заинтересованного лица, осуществляемый в соответствии с резолюцией полномочного руководителя на конфиденциальном документе, о принятом им решении или решении другой организационной структуры. Процесс завершается проставлением сотрудником визы ознакомления, но может потребоваться последующее составление другого документа или повторное обращение к этому документу. Ознакомление сотрудника с документом производится службой конфиденциальной документации. Сотрудник этой службы обязан предоставить для прочтения сотруднику только ту часть документа, которая указана в резолюции руководителя. Не допускается разрешать сотруднику знакомиться с текстом документа в полном объеме или делать выписки на неучтенном носителе. В технологическом отношении ознакомление с документом представляет собой первоначальную операцию исполнения или использования конфиденциального документа.

Опись конфиденциальных документов дела – перечень конфиденциальных документов, находящихся (подшитых) в деле, служащий для контроля их сохранности и комплектности. В описи (внутренней описи) дела указываются учетные номера документов, грифы конфиденциальности, даты подписания или утверждения, виды и краткое содержание документов, номера листов дела, соответствующих расположению документов в деле. Опись подшивается в начале дела и имеет самостоятельную нумерацию листов. Опись документов должна содержаться также в личных делах сотрудников, в папках текущего хранения неисполненных документов, предшествовать электронным документам массива, магнитного носителя, вестись персонально по каждому руководителю и исполнителю, работающим с конфиденциальными документами.

Опись конфиденциальных документов, находящихся у исполнителя – перечень документов и носителей информации, выданных сотруднику фирмы для работы. Предназначена для их учета, проверки сохранности (наличия) и контроля правильности использования и хранения.

Опись конфиденциальных документов фирмы – перечень конфиденциальных документов фирмы. Ведется в некрупных фирмах, структурах малого бизнеса с небольшим количеством конфиденциальных документов, обрабатываемых в рамках существующей технологической системы, предназначенной для открытых документов, но обеспеченной минимальным составом методов защиты. Опись служит для дополнительного учета конфиденциальных документов, проверки их наличия и комплектности, своевременного снятия грифа конфиденциальности. Может иметь традиционную бумажную или электронную форму. В крупных фирмах ведется инвентарная опись законченных производством дел, картотек и журналов.

Организационный элемент системы защиты информации — комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации фирмы. Организационные меры связаны с установлением режима конфиденциальности в фирме. Элемент включает в себя: формирование и регламентацию деятельности службы безопасности и службы конфиденциальной документации, организацию составления и регулярного обновления перечней конфиденциальной информации и документации фирмы, регламентацию разрешительной системы доступа персонала к конфиденциальной информации; регламентацию направлений и методов работы с персоналом, контроля соблюдения им правил защиты информации; регламентацию технологической системы обработки и хранения конфиденциальных документов, ведение всех видов аналитической работы, регламентацию системы охраны фирмы и порядка приобретения, установки и эксплуатации инженерно-технических средств защиты информации и охраны; регламентацию действий персонала в экстремальных ситуациях и др. Организационная защита является стержнем, который связывает в единую систему все другие элементы.

Оригинал документа – первоначальный, единственный, уникальный документ. Может быть черновым и беловым документом и подлинником.

Ответственность персональная – одно из главных требований к организации функционирования системы защиты информации и обязательное условие обеспечения эффективности этой системы. Предусматривается, что полномочный руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение. В свою очередь, каждый сотрудник фирмы (в том числе работник службы конфиденциальной документации), получающий для работы конфиденциальный документ, несет аналогичную ответственность за сохранность носителя и конфиденциальность информации.

Оформление дел с конфиденциальными документами — комплекс технологических процедур обработки исполненных документов. Имеет отличительные особенности по сравнению с идентичной работой по оформлению дел с открытыми документами. Процедура оформления дела при его заведении дополнительно включает: указание на обложке дела грифа конфиденциальности и состава допущенных к делу исполнителей, оформление карточки учета разрешений и выдачи дела, подшивку в дело чистых бланков внутренней описи документов. Особенностями процедуры оформления дела при его формировании являются: внесение данных о подшиваемом документе во внутреннюю опись, нумерация листов документа в деле, прошнуровывание листов, внесение отметки о включении документа в дело в учетную форму документа. Процедура оформления дела при его закрытии в целом идентична процедуре подготовки открытых дел о сдаче в архив, но дополнительно выполняются следующие операции: опечатывание на заверительном листе концов шнурка, внесение дела в инвентарную опись законченных производством дел, картотек и журналов.

Оформление документа — проставлен не реквизитов, установленных правилами документирования.

Оформление и учет носителей конфиденциальной, информации — этап стадии исполнения конфиденциального документа. Осуществляется заблаговременно, т. е. до начала составления документа. Назначение учета носителей (документов предварительного учета) состоит в том, чтобы обеспечить безопасность информации, контроль ее сохранности не только в подлиннике, но и во всех черновых материалах, вариантах и редакциях документа, отдельных записях. Основными задачами учета являются следующие: закрепление факта присвоения носителю (например, обычным листам бумаги, тетради, блокноту, дискете и т. п.) степени конфиденциальности; присвоение носителю учетного номера и включение его в справочно-информационный банк для обеспечения контроля за использованием носителя и проверки его наличия; документирование фактов перемещения носителя между сотрудниками фирмы, закрепления персональной ответственности за его сохранность; контроль за работой исполнителя над документом и своевременным уничтожением носителя или его частей, потерявших практическое значение. В предпринимательских структурах предварительный учет бумажных носителей информации, как правило, не производится. Не ставятся на учет носители информации, предназначенные для составления документов, которые относятся к служебной и профессиональной тайне. Однако магнитные носители везде и в обязательном порядке ставятся на инвентарный (перечневый) учет, т. е. включаются в инвентарную опись и маркируются. Предварительный учет носителей целесообразен на уровне руководства фирмы, где концентрируется действительно ценная информация, обычно с грифом «Строго конфиденциально», а также при документировании технических и технологических новшеств.

Охрана информационных ресурсов открытого доступа — обеспечение безопасности ценной информации, являющейся интеллектуальной собственностью юридического или физического лица. Осуществляется нормами патентного, авторского и смежных прав, торговыми правилами и обычаями, а также использованием товарного знака, торговой марки, знака обслуживания, эмблемы предприятия.

Передача конфиденциальных документов руководителям и исполнителям — усложненный по сравнению с аналогичной стадией обработки открытых документов комплекс процедур, выполняемый службой конфиденциальной документации и предусматривающий как оперативное доведение документа до исполнителя, так и соблюдение действующей в фирме разрешительной системы доступа персонала к конфиденциальным документам, которая лежит в основе избирательности в доставке документирован ной информации руководителям и исполнителям, и порядка возложения или снятия с них персональной ответственности за документ. Следует учитывать, что пользователь (потребитель) конфиденциальной информации руководствуется указаниями руководителя при определении, какая информация ему нужна и какой информацией он может пользоваться. Передача документов сопровождается выполнением следующих процедур: оформление в учетной форме факта передачи; рассмотрение документа руководителем; оформление и передача документа исполнителю или на другой участок службы конфиденциальной документации (см. также Обработка поступивших документов. Работа службы конфиденциальной документации с исполнителями). Передача документов между руководителями и исполнителями осуществляется только через службу конфиденциальной документации с обязательным фиксированием динамики изменения местонахождения документа. Передача документов руководителям без росписи или через секретарей, референтов, помощников не допускается.

Перечень конфиденциальных документов – систематизированный список получаемых и издаваемых конфиденциальных документов фирмы, составляется на основе перечня конфиденциальных сведений. Предназначен для регламентации рационального состава конфиденциальных документов и их основных характеристик, в частности уровня грифа конфиденциальности сведений, состава сотрудников, допущенных к документу, минимально необходимого объема конфиденциальных сведений, включаемых в документ, сроков конфиденциальности документа и др. Перечень регулярно изменяется и дополняется в соответствии исправлениями, вносимыми в перечень конфиденциальных сведений фирмы.

Перечень конфиденциальных сведений – классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. Форма отнесения информации фирмы к категории защищаемой. В основе перечня обычно лежит типовой состав ценных сведений фирм данного профиля. Наличие перечня – одно из главных условий эффективного функционирования системы защиты информации. Перечень формируется индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждается первым руководителем фирмы. Перечень – это многоцелевой документ, предназначенный для: выделения конфиденциальных документов из общего потока документов, реализация разрешительной системы доступа персонала к конфиденциальным сведениям и документам, использования в качестве доказательства в суде при рассмотрении дел о краже ценной информации. При составлении перечня производится расчленение (дробление) тайны фирмы на отдельные информационные элементы, известные разным лицам. Одновременно в перечне регламентируется срок конфиденциальности сведений, уровень грифа конфиденциальности и состав сотрудников, которым дано право пользоваться этими сведениями. Перечень является рабочим инструментом и должен постоянно обновляться и корректироваться в соответствии с динамикой изменений в деятельности фирмы. На основе перечня может составляться перечень конфиденциальных документов фирмы.

Перечень секретных сведений – наиболее распространенная в России форма засекречивания информации. Составляется отраслевыми и ведомственными органами управления на основе Закона Российской Федерации «О государственной тайне» и Перечня сведений, отнесенных к государственной тайне, утвержденных Президентом Российской Федерации и подлежащих обязательному опубликованию. Отраслевая принадлежность засекречиваемых сведений означает привязку их к определенной сфере производственной деятельности, ведомственная принадлежность – привязку сведений к органу государственной власти. Программно-целевое засекречивание сведений означает их принадлежность к целевым программам научно-исследовательских и опытно-конструкторских работ, охватывающих чаще всего несколько отраслей промышленности.

Персональные данные – информация о гражданах, лицах, особах, персонах, личностях, персоналиях, т. е. любая, в том числе недокументированная, информация, относящаяся к конкретному человеку. Субъектами персональных данных являются граждане РФ, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные. Персональные (личные) данные всегда входят в категорию конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Запрещается ограничение прав граждан как результат использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности. Персональные данные находят отражение прежде всего в персональных и других документах кадровой службы, в информационно-документационной системе, обеспечивающей управление персоналом.

Подбор персонала для работы с конфиденциальной информацией — комплекс аналитических процедур, позволяющих убедиться в высоком уровне моральных, личных и профессиональных качеств претендента на должность, связанную с владением конфиденциальной информацией. Усложнение процесса подбора претендента на указанную должность связано с высокой степенью ответственности за принятие решения о допуске лица к тайне фирмы и наличием даже в больших фирмах достаточно ограниченного контингента сотрудников, работающих с конфиденциальной информацией. Аналитические процедуры включают: тщательную проверку предоставленных кандидатами персональных документов, опрос авторитетных для фирмы лиц, лично знающих каждого кандидата, проведение с кандидатом ряда собеседований и при необходимости тестирований, отбор из нескольких кандидатов реального претендента на должность, подписание контракта о временной работе в целях более глубокого и всестороннего изучения качеств претендента. Такие же процедуры проводятся при переводе сотрудника фирмы на должность, связанную с владением конфиденциальной информацией.

Подлинник (официального) документа – первый или единичный экземпляр официального документа.

Подмена документа – противоправное действие, совершаемое сотрудником фирмы или иным лицом в целях сокрытия факта кражи или утери документа, его части (листа, приложения и др.), копии; представляет собой попытку снятия с себя подозрения или ответственности за утрату носителя и конфиденциальности информации. Осуществляется путем фальсификации и диктуется, как правило, чувством страха. Сотрудник или иное лицо, являющиеся злоумышленником или его сообщником, совершают подмену обдуманно и на профессиональном уровне.

Пользователь (потребитель) информационных ресурсов – лицо (субъект), обращающееся к информационной системе или посреднику за получением необходимой ему информации и пользующееся ею. Пользователь не может участвовать в проектировании, модернизация или эксплуатации, контроле эффективности системы защиты информации.

Посетитель – 1) лицо, которому необходимо решить определенный круг деловых или личных вопросов с руководителями и менеджерами фирмы; 2) лицо, совместно с которым полномочные лица вырабатывают определенные решения по направлениям деятельности фирмы.

Посетители – сотрудники фирмы делятся на:

• сотрудников, имеющих право свободного входа в кабинет руководителя в любое время рабочего дня (заместители руководителя, референты, секретари);

• сотрудников, работающих с руководителем в режиме вызова или решающих с ним деловые вопросы в часы приема по служебным делам (нижестоящие руководители, эксперты, специалисты-менеджеры);

• сотрудников, инициирующих свой прием руководителем в часы приема по личным вопросам.

Посетители, не являющиеся сотрудниками фирмы, и в соответствии с характером их взаимоотношений с фирмой могут подразделяться на:

• лиц, не включенных в штат сотрудников, но входящих в качестве членов в коллективный орган управления деятельностью фирмы (акционеры, члены различных советов и др.);

• представителей государственных учреждений и организаций, с которыми фирма сотрудничает в соответствии с законом (работники различных инспекций, муниципальных органов управления, правоохранительных органов и др.);

• сотрудничающих с фирмой физических лиц и представителей предприятий и организаций, банков, рекламных агентств, торговых представительств, средств массовой информации (клиенты, партнеры, коммерсанты, инвесторы, спонсоры, журналисты и др.);

• представителей иных государственных и негосударственных структур, с которыми фирма не имеет деловых отношений;

• частных лиц.

Постороннее лицо – любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники коммунальных службы, экстремальной помощи, прохожие и др.), посетители фирмы, работники других организационных структур, а также сотрудники данной фирмы, не имеющие права доступа в определенное помещение, к конкретному документу, ин-. формации, базе данных, продукции. Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом, но может и не быть им.

Право информационное – совокупность законодательных информационно-правовых норм, регулирующих общественные отношения в информационной сфере и являющихся гарантированным инструментом охраны интеллектуальной информационной собственности (информационного продукта) юридических и физических лиц.

Правовой элемент системы защиты информации – юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Правовой элемент включает: наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации; формулирование и доведение до сведения всех сотрудников фирмы положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов; разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

Предписание – документ, предъявляемый командированным в фирму лицом. В документе указываются цель командирования и подлежащие выполнению задания, требующие ознакомления с определенным составом конфиденциальной информации и документов. Предписание составляется на бланке организации, командирующей данное лицо, подписывается первым руководителем и заверяется печатью этой организации. Разрешение на доступ командированного лица к конкретным конфиденциальным документам, делам и базам данных санкционирует первый руководитель фирмы в резолюции на предписании. Ознакомление командированного лица с конфиденциальными сведениями должно происходить в присутствии сотрудника фирмы, назначенного в резолюции ответственным за работу командированного лица. Возможность командирования, его цели и фамилия командируемого лица, как правило, заранее согласовываются первыми руководителями фирм, организаций.

Проверка наличия документов, дел и носителей информации — установление реального соответствия имеющихся в наличии конфиденциальных документов, дел и носителей записям в учетных формах, их сохранности, целостности и комплектности, а также своевременное выявление фактов утраты конфиденциальных материалов и определение правильности выполнения процедур и операций по учету, хранению, исполнению и использованию этих материалов. Входе проверки рассматриваются вопросы снятия с документов грифа конфиденциальности. Проверки могут быть регламентированными (периодическими) и нерёгламентированными. Регламентированные проверки проводятся ежедневно (самопроверки исполнителей, проверки вторым сотрудником службы конфиденциальной документации), ежеквартально и по окончании календарного года. Квартальные и годовые проверки наличия проводятся специально назначаемой комиссией. Нерегламентированные проверки осуществляются при смене руководителей подразделений и направлений деятельности, увольнении сотрудников, по завершении экстремальной ситуации, выявлении факта возможной утраты носителя или разглашения информации.

Программно-аппаратный элемент системы защиты информации – комплекс специальных методов и средств защиты информации в автоматизированных системах и сетях. Элемент включает: автономные программы, обеспечивающие защиту информации и контроль защищенности информации; программы защиты информации, работающие в комплексе с программами обработки информации; программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающими данные при несанкционированном входе в базу данных и др.). Составные части программно-аппаратной защиты, коды, пароли и т. п. атрибуты комплексной системы защиты вычислительной техники разрабатываются и меняются специализированной организацией. Применение пользователями собственных программ не допускается.

Противодействие злоумышленнику – целенаправленное создание неблагоприятных условий и трудно преодолимых препятствий (рубежей) для лица, пытающегося совершить несанкционированный доступ и овладение конфиденциальной информацией фирмы. Может быть пассивным и активным. При пассивном противодействии система защиты информации функционирует в обычном режиме, ведется плановая аналитическая и контрольная работа с источниками и каналами распространения информации, организационными и техническими каналами возможного несанкционированного доступа к конфиденциальной информации. Активное противодействие предполагает подключение дополнительных организационных и технических методов защиты информации (например, закрытие доступа к определенным категориям информации, организацию усиленной охраны здания и помещений, ограничение деловых связей фирмы и др.).

Работа персонала с конфиденциальным документом – комплекс требований по соблюдению руководителями всех рангов и сотрудниками фирмы специальных ограничительных и технологических норм, предупреждающих утрату документа, носителя, дела или утрату конфиденциальности информации и в определенной степени гарантирующих информационную безопасность фирмы. Требования предусматривают: наличие у сотрудника оборудованного необходимым образом рабочего места, строгое соблюдение им разрешительной системы доступа к конфиденциальным документам, носителям и делам, учет во внутренней описи всех конфиденциальных материалов, находящихся у руководителя или исполнителя, правильное хранение документов на рабочем месте, своевременную, ежедневную сдачу документов в службу конфиденциальной документации, строгое исполнение запретительных пунктов соответствующей инструкции, немедленное информирование руководства фирмы об утрате документа или разглашении информации. На рабочем столе любого сотрудника фирмы всегда должен быть только тот документ и материалы к нему, с которыми он работает. Другие документы должны находиться в запертом сейфе (металлическом шкафу).

Работа с персоналом, обладающим конфиденциальной информацией – комплекс мер предупредительного, профилактического, текущего характера, предназначенных для приобретения персоналом устойчивых знаний и навыков выполнения действующих правил защиты информации, а также для контроля за соблюдение персоналом требований обеспечения информационной безопасности фирмы. Включает в себя: обучение и систематическое инструктирование сотрудников, проведение регулярной индивидуальной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами, постоянный контроль за работой этих сотрудников, аналитическую работу по изучению и учету степени осведомленности персонала в области конфиденциальных работ фирмы, проведение служебных расследований по фактам утраты конфиденциальных документов, нарушения персоналом требований по защите информации, совершенствование методики текущей работы с персоналом.

Работа службы конфиденциальной документации с исполнителями – ежедневная выдача и прием от исполнителя конфиденциального документа (комплекта документов или опечатанного кейса с документами), контроль за работой исполнителя с конфиденциальными документами. При выдаче документа проверяется в присутствии исполнителя: наличие разрешения на доступ данного сотрудника к конкретному документу (в резолюции, схеме доступа и др.), комплектность документа и физическая сохранность всех его частей. После проверки исполнитель расписывается в учетной карточке или карточке учета выдачи документа и вносит сведения о документе во внутреннюю опись документов, находящихся у исполнителя. Работник, службы конфиденциальной документации вносит отметку в контрольный журнал о местонахождении документа (см. Учет местонахождения документа). При приеме документа от исполнителя проверяется: соответствие реквизитов документа данным, указанным в его учетной форме, комплектность документа, количество листов (перелистыванием), отсутствие подмены или порчи листов и других частей документа. Роспись сотрудника службы конфиденциальной документации в приеме документа ставится только после проведения указанной проверки.

Проставляется роспись в учетной форме или карточке учета выдачи документа. Сотрудник делает также отметку о возврате документа во внутренней описи документов, находящихся у исполнителя. Одновременно в контрольный журнал вносится запись о новом местонахождении документа. Электронные документы передаются исполнителю в копии после получения от него росписи в бумажном экземпляре электронной учетной карточки документа или электронной подписи непосредственно в самой электронной учетной карточке, находящейся в компьютере службы конфиденциальной документации. При выдаче и приеме документа должна быть исключена возможность ознакомления с документом или его учетной формой посторонних лиц. Контроль правильности работы исполнителя с конфиденциальными документами на рабочем месте проверяется службой конфиденциальной документации не реже одного раза в квартал.

Разведка в бизнесе – аналитическая работа с использованием методов легального получения конфиденциальной информации, изучения устремлений и направленности интересов конкурентов и партнеров фирмы в рамках добросовестной конкуренции.

Разглашение конфиденциальной информации – несанкционированный выход конфиденциальных сведений и документов за пределы круга лиц, которым они были доверены или стали известны по службе. Разглашение (огласка, оглашение) информации происходит по вине персонала – случайно, ошибочно или умышленно, добровольно (инициативно) или под воздействием угроз, шантажа, применения наркотических средств, психотропных препаратов. Информацию разглашает всегда человек – устно, письменно, с помощью жестов, мимики, условных сигналов, лично или через посредников, с использованием средств связи и многими другими способами.

Раздробление тайны – классифицированное (иерархическое) дробление предметной совокупности конфиденциальной информации на тематические группы, отдельные элементы, части, известные разным сотрудникам фирмы. Разглашение остальной части сведений в этом случае не имеет большого практического смысла.

Разрешительная (разграничительная) система доступа к информации — совокупность обязательных норм, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью закрепления за руководителями и сотрудниками права использования для выполнения служебных обязанностей выделенных помещений, рабочих мест, определенного состава документов и конфиденциальных сведений. Составная часть системы защиты информации. Система решает следующие задачи: ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с конфиденциальными документами, строгого избирательного и обоснованного распределения документов и информации между сотрудниками; обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных); беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (рабочую зону), к выделенному ему офисному рабочему оборудованию и компьютеру; исключения возможности несанкционированного ознакомления посторонних лиц с конфиденциальной информацией; рационального размещения рабочих мест сотрудников, исключающего бесконтрольное использование ими защищаемой информации. Система включает в себя две составные части: а) допуск сотрудника к конфиденциальной информации и б) непосредственный доступ этого сотрудника к конкретным сведениям.

Расследование служебное – установление причин и лиц, виновных в разглашении или утечке информации, утрате документа, носителя или конфиденциальности информации, утраты продукции, содержащей ценные новшества, и других грубых нарушениях правил защиты информации. Проводится сотрудниками службы безопасности фирмы и предназначено для выяснения всех обстоятельств и их последствий, связанных с конкретным фактом. В ходе расследования устанавливаются причины случившегося и виновные лица. По результатам расследования делаются выводы о мере ответственности виновных лиц, даются рекомендации по устранению причин случившегося и исключению подобных фактов в будущем. При необходимости к расследованию привлекаются частные детективные агентства.

Режим – совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ и пребывание на определенной территории, в здании, помещениях, регулирующих порядок ознакомления с защищаемой информацией и документами, предпринимаемых в целях информационной безопасности фирмы. Базируется на разрешительной системе доступа.

Режим конфиденциальности – комплекс мер, входящих в состав действующей в фирме системы защиты информации и обеспечивающих особый правовой статус организации работы сотрудников фирмы. Осуществляется и контролируется службой безопасности фирмы. Включает в себя: разрешительную систему доступа, пропускной режим, особые правила приема на работу сотрудников и текущей работы с персоналом, учет осведомленности каждого сотрудника в тайне фирмы, контроль соблюдения сотрудниками инструкций по защите информации, выполнение охранных мероприятий, в том числе в рабочее время, функционирование специальных технологических систем обработки и хранения конфиденциальных документов и электронной информации, ведение аналитической работы.

Режим пропускной – ограничение на право входа на территорию, в здание или помещения фирмы и регламентация порядка выхода из них. Распространяется на въезд и выезд транспортных средств. Предусматривает также ограничение на право вносить (выносить) или ввозить (вывозить) определяемые руководством фирмы предметы, оборудование и т. п. без специального разрешения полномочных должностных лиц. Ограничивается право сотрудников вносить на территорию фирмы личные вещи, которые могут стать каналом утраты конфиденциальной информации (фотоаппараты, видео– и аудиотехнику, средства связи, дискеты, объемные сумки, кейсы и др.). Пропускной режим реализуется системой пропусков – постоянных, временных, разовых, материальных, транспортных, которые предъявляются на контрольно-пропускном пункте. Наличие пропуска дает право находиться в здании и определенных помещениях фирмы, получать необходимые для работы документы, дела, дискеты, выносить (вывозить) с территории фирмы указанные в пропуске предметы. Пропуска в зависимости от их категории могут быть различной формы, цвета, иметь полосы, снабжаться фотокарточкой владельца и иными идентифицирующими признаками, содержать указание на ограничения в перемещении по зданию. Для контроля за выполнением порядка доступа в помещения фирмы наиболее удобны пропуска-идентификаторы, носимые сотрудниками и посетителями на одежде.

Реквизит документа – обязательный элемент оформления официального документа (вид документа, его автор, дата, подпись и др.).

Секрет – см. Тайна. Секретность – ограничение, накладываемое собственником, на доступ к информации, документам, делам, базам данных, продукции, оборудованию, транспорту, на вход и

нахождение в определенной зоне (территории), здании, помещениях.

Сертификация систем и средств защиты информации – аналитические действия по определению эффективности систем защиты информационных ресурсов, качества программных, аппаратных и иных средств защиты. Выполняется специализированной организацией, имеющей соответствующую лицензию. В соответствии с положительными результатами анализа выдается сертификат, удостоверяющий возможность использования указанных систем и средств защиты для обеспечения информационной безопасности фирмы.

Система зашиты информации – совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Главными требованиями к организации эффективного функционирования системы являются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации, регламентация состава конфиденциальных сведений и документов, подлежащих защите, регламентация порядка доступа персонала к конфиденциальным сведениям и документам, наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы. Основной характеристикой системы является ее комплексность, т. е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивает индивидуальность построения системы защиты информации конкретной фирмы, ее неповторимость и. необходимый заданный уровень защиты с учетом ценности информации и стоимости системы. Элементами системы являются: правовой, организационный, инженерно-технический, криптографический и программно-аппаратный, В каждом элементе защиты могут быть реализованы на практике только отдельные содержательные части в зависимости от поставленных задач защиты в крупных и некрупных фирмах различного профиля, малом бизнесе. Структура системы зависит как от объема и ценности защищаемой информации, так и от характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы.

Система охраны здания, помещений, транспорта и персонала – комплекс организационных и технических мероприятий, реализующих одну из основных функций службы безопасности фирмы. Состав и содержание мероприятий зависят от профиля и объемов деятельности фирмы. Мероприятия включают в себя: аналитическую работу по выявлению потенциальных и реальных угроз охраняемым объектам, степени их опасности, расчет рациональной численности и организацию работы персонала охраны, приобретение, установку и эксплуатацию технических средств охраны, сигнализирования и идентификации, контроль эффективности указанных мероприятий. Действенность охраны в полной мере зависит от профессионализма и качества работы персонала службы охраны и его взаимодействия с указанными техническими средствами. Технические средства не подменяют персонал охраны. Охрана может быть круглосуточной, ночной и эпизодической. В фирмах с большими объемами конфиденциальной информации, наличием незапатентованных новшеств, реализованных в продукции, и в других подобных случаях целесообразна круглосуточная охрана. В неохраняемых фирмах эпизодический вид охраны вводится при выявлении реальной угрозы фирме, ее продукции, информации и персоналу. Этот вид охраны может быть круглосуточным или ночным. Индивидуальная охрана персонала вне здания фирмы осуществляется в зависимости от степени осведомленности сотрудников в тайнах фирмы, а также при перевозке конфиденциальных документов, материальных ценностей, при возникновении реальных угроз отдельным сотрудникам от криминальных элементов.

Служба безопасности – самостоятельное структурное подразделение фирмы, обеспечивающее экономическую безопасностью функционирования. В негосударственных структурах подобная служба создается по усмотрению руководящего органа фирмы. Наличие подобной службы является одним из главных условий эффективного функционирования системы защиты информации. Основными задачами службы являются: ведение всех направлений аналитической работы и маркетинговых исследований, планирование работы по обеспечению экономической безопасности фирмы, разработка, эксплуатация и регулярное обновление системы защиты информации, обеспечение режима конфиденциальности проводимых фирмой работ, контроль эффективности используемых мер безопасности и определение направлений их совершенствования. Единообразия в построении служб безопасности нет. Основными подразделениями службы могут быть: информационно-аналитическая группа; группа маркетинговых исследовании; группа обеспечения внешней безопасности; группа конфиденциальной документации; группа режима и охраны; группа инженерно-технической защиты информации; контрольная группа. В некрупных фирмах и малом бизнесе функции службы безопасности выполняет менеджер по безопасности или выборочно референт первого руководителя. Деятельность службы безопасности должна сопровождаться необходимым нормативно-методическим обеспечением. Любая информация и документация, образующаяся или используемая в деятельности службы безопасности, является конфиденциальной.

Служба конфиденциальной документации — самостоятельное подразделение фирмы или подразделение службы безопасности, его статус зависит от ценности и объемов конфиденциальной документации фирмы. Служба предназначена для решения задач и выполнения функций обработки, хранения и организации рассмотрения, исполнения, использования и движения конфиденциальных документов. В состав службы в крупной фирме входят следующие функциональные группы (участки): группа учета поступивших документов; группа учета носителей конфиденциальных документов; группа учета подготовленных документов; группа учета номенклатурных дел; группа инвентарного учета; группа изготовления документов; копировально-множительная группа; экспедиционная группа; архив; контрольно-методическая группа. В некрупных фирмах функции службы конфиденциальной документации выполняет управляющий делами, менеджер по документации (деловой и технической), референт первого руководителя фирмы или один из сотрудников службы открытой документации (канцелярии, секретариата). Обработку документов, содержащих служебную информацию ограниченного распространения (документов с грифом «Для служебного пользования»), осуществляет структурное подразделение, которому поручена обработка открытой документации.

Собеседование – устное общение с кандидатами на вакантную должность или сотрудником фирмы. Проводится, как правило, по заранее подготовленному вопроснику работниками (экспертами) службы персонала или службы безопасности: при приеме граждан (или переводе сотрудников) на должности, связанные с владением конфиденциальными сведениями (собеседования по предоставленным документам, по профессиональным и биографическим фактам с целью определения прежде всего личных и моральных качеств гражданина, выявления возможных злоумышленников, реальных причин желания работать на фирме и др.); при увольнении сотрудника (собеседование о недопустимости разглашения конфиденциальных сведений фирмы и др.); в процессе работы сотрудника в фирме (собеседования по итогам обучения или инструктирования в области защиты информации, при обнаружении фактов разглашения информации и др.). Собеседование может дополняться тестированием, анкетированием и другими методами психологического анализа личности.

Собственник информационных ресурсов — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанным объектом.

Составление текста конфиденциального документа – документирование защищаемой информации. Требует соблюдения специальных правил, основными из которых являются: объем конфиденциальных сведений, включаемых в документ, должен быть минимальным и определяться реальной ситуацией; документ всегда должен касаться только одного вопроса (темы), что необходимо для четкого функционирования разрешительной системы доступа к конфиденциальной информации; организационные, распорядительные, плановые, отчетные и другие подобные документы должны иметь функциональные персонифицированные приложения-задания, что позволяет не доводить эти документы в полном объеме до исполнителей; конфиденциальные показатели (формулы, рецептуры, выводы, результаты наблюдений, описания технологических процессов, результатов опытов и др.) должны фиксироваться в документе только один раз и не повторятся в других документах; не допускаются в неконфиденциальных документах намеки на наличие конфиденциальных сведений или их описание в произвольной форме; не допускается включение в неконфиденциальные документы сведений, составляющих интеллектуальную собственность или коммерческую тайну других фирм или лиц, без их согласия. При пересылке конфиденциальных документов обычной почтой или по незащищенным каналам связи целесообразно произвести шифрование текста.

Сохранность конфиденциального документа, носителя – одна из главных задач системы защиты информации. Обеспечивается совокупностью правовых, разрешительных и технологических мер. Правовые меры предусматривают персональную ответственность руководителей за принятие правильного решения по доступу сотрудника к документу и сотрудников за целостность полученного для работы конфиденциального документа на любом носителе. Разрешительные (ограничительные, режимные) меры предусматривают регламентацию минимального состава сотрудников, имеющих право работать с документом, получать для работы чистый учтенный носитель информации. К числу технологических мер относятся наличие комплекса учетных операций на всех стадиях движения документа, носителя, передача документов сотрудникам в соответствии с утвержденной разрешительной системой доступа, регламентация порядка роботы персонала с документами, хранение документов на бумажных и магнитных носителях в условиях, исключающих их порчу или доступ к ним посторонних лиц.

Справочно-информационный банк данных автоматизированный — структурированная совокупность сведений о документах, хранящихся в памяти ЭВМ. Имеет следующие основные электронные массивы: инвентарную опись традиционных (бумажных), машиночитаемых, электронных и иных конфиденциальных документов фирмы с указанием их местонахождения (см. Учет местонахождения документа); массивы учетных карточек документов по видам учета; массив учетных карточек выдачи документов по видам учета; опись рабочего и архивного массивов конфиденциальных документов по каждому компьютеру; массив учетных карточек магнитных носителей с перечислением документов, записанных на каждом носителе; опись документов, находящихся у конкретных исполнителей. Учетную и страховую функцию, а также функцию обеспечения персональной ответственности за сохранность документов могут выполнять следующие традиционные массивы, формируемые на основе распечаток (машинограмм) электронных массивов: страховая учетная валовая картотека бумажных экземпляров электронных карточек документов; картотека «За исполнителями» (для внесения росписи за получение и возврат документа); картотека учетных карточек магнитных носителей информации. Кроме того, ведется комплект постоянно обновляемых и достоверных дубликатов, резервных копий всех магнитных носителей, на которых записаны сведения о документах или сами документы, а также машинный журнал (протокол) учета работы ЭВМ и выполняемых действий с документами. При функционировании указанного банка данных в структуре защищенной локальной сети и оперировании при передаче документов электронной подписью количество обеспечивающих традиционных массивов может быть сокращено.

Справочно-информационный банк данных по конфиденциальным документам — структурированная совокупность применяемых учетных форм. Предназначен для контроля за сохранностью документов, накопления и систематизации исходных данных о документах, актуализации массивов информации – внесения в учетные формы рабочих сведений в процессе исполнения или использования документов, обеспечения контроля их исполнения и проверки наличия. Банк может быть традиционным (см. Картотека учетная) и автоматизированным.

Средства защиты информации – технические, криптографические, программные и другие средства, входящие в структуру отдельных элементов системы защиты информации и предназначенные для обеспечения защиты сведений, составляющих тайну фирмы, а также средства, в которых они реализованы, или предназначены для контроля эффективности системы защиты информации.

Средства несанкционированного доступа к информации – специально изготовленные технические средства промышленного шпионажа: приборы, оборудование, системы приборов и средств связи, предназначенные для создания контакта с источником конфиденциальной информации или каналом объективного распространения информации и образования технического канала утечки этой информации (видео– и аудиооборудование, бинокли, лазерные приборы, радиозакладки и др.).

Сроки конфиденциальности информации – временной период ограничения доступа персонала и иных лиц к конфиденциальной информации. Характеризуется большим разбросом во времени – от нескольких часов до нескольких лет. Основная масса конфиденциальной документированной информации после окончания исполнения работы с документами или наступления определенного события теряет свою ценность и конфиденциальность. Для документированной информации, сохранившей конфиденциальность после указанных моментов, период конфиденциальности может быть кратковременным или долговременным в зависимости от ценности информации. К документам долговременного периода конфиденциальности относятся, например, программы и планы развития бизнеса, технологическая документация ноу-хау и др. Документы кратковременного периода конфиденциальности имеют оперативное значение для деятельности фирмы, например переписка по заключению контракта, факсы о поступлении груза и др. Период конфиденциальности документов определяется по перечню конфиденциальных сведений фирмы» зависит от специфики ее деятельности. При этом не следует отождествлять два разных понятия – срок хранения документов и период их конфиденциальности. Хотя конфиденциальные документы характеризуются и тем и другим понятием.

Стадия в структуре документопотока – относительно самостоятельная составная функциональная часть документопотока, включающая в себя типовой состав технологических процедур и операций, которые выполняются с документом на данной стадии. Подробнее см. Структура потоков (документопотоков) конфиденциальных документов.

Степень конфиденциальности информации– характеристика закрытости сведений и уровня ограничения доступа к ним персонала. Определяется ценностью информации и фиксируется на документе грифом ограничения доступа.

Структура потоков (документопотоков) конфиденциальных документов – комплекс содержательных элементов процесса движения документов в офисе. Отличается от совокупности технологических стадий (функциональных элементов), составляющих потоки открытых документов. Входной документопоток включает в себя следующие стадии обработки конфиденциальных документов: прием, учет и первичная обработка поступивших пакетов, конвертов; учет поступивших документов и формирование справочно-информационного банка данных по документам; предварительное рассмотрение и распределение поступивших документов (см. Обработка поступивших документов); рассмотрение документов руководителями и передача документов на исполнение в другие участки службы конфиденциальной документации; ознакомление с документами исполнителей, исполнение документов. Выходной и внутренний документопотоки включают в себя следующие стадии: исполнение документов; контроль исполнения документов; обработка изданных документов; систематизация исполненных документов в дела (см. Номенклатура конфиденциальных дел), формирование и закрытие дел; подготовка и передача дел в ведомственный архив. Все документопотоки могут включать дополнительные стадии: инвентарный учет документов, дел и носителей информации, не включенных в номенклатуру дел, копирование и тиражирование документов, уничтожение документов, дел и носителей информации, проверка наличия документов, дел и носителей информации. Стадии, формирующие тот или иной документопоток практически реализуются совокупностью процедур и операций, составляющих определенную технологическую систему обработки и хранения конфиденциальных документов.

Тайна – скрытое, неизвестное, неведомое, нечто, скрываемое от других, известное не всем. Синоним тайны – секрет. Секрет – то, что держится в тайне, скрывается от других, тайный способ, скрытая причина. Держать втайне, в секрете – значит защищать сведения о чем-то, защищать информацию. Тайна должна быть в безопасности. Выделяются две глобальные предметные сферы тайны: а) тайны природы, объективные тайны – тайны вселенной, тайны рождения и смерти, тайны Земли и др. и б) тайны людей, субъективные тайны – тайны государства, личности, профессии, производства, тайны мастерства, тайна интеллектуального труда, женские секреты и др. Тайна всегда имеет информационную форму.

Тайна государственная – защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение (утрата) которых может нанести ущерб безопасности Российской Федерации. Необходимость отнесения сведений к государственной тайне определяется министерствами и ведомствами в соответствии с разграничением полномочий между ними и с помощью специальных экспертных комиссий.

Тайна коммерческая (предпринимательская) – конфиденциальные сведения, не являющиеся государственными секретами и связанные с производством, управлением, финансированием и другой деятельностью предпринимательских структур и направлений подобной деятельности, утрата которых может нанести ущерб деловым интересам этих структур, собственникам и владельцам ценных информационных ресурсов, интеллектуальной собственности.

Тайна личная – сведения о частной жизни граждан, персональные данные о них, сохранение которых в тайне гарантируется Конституцией Российской Федерации. Утрата конфиденциальности указанных сведений может нанести моральный, материальный или иной ущерб физическому лицу. Сведения защищаются как самим физическим лицом, так и любыми государственными и негосударственными структурами.

Тайна негосударственная — защищаемые в соответствии с законодательством собственником или владельцем информационные ресурсы ограниченного доступа, утрата которых может нанести деловой, экономический, моральный или иной ущерб, потерю престижа юридическим или физическим лицам. К негосударственной тайне относят: служебную, коммерческую (предпринимательскую), личную, семейную тайну, технологические новшества предприятий, профессиональную тайну и др.

Тайна профессиональная – секретные и конфиденциальные сведения, составляющие государственную или негосударственную тайну юридических и физически лиц, но защищаемые другими полномочными учреждениями, которым эти сведения стали известны в силу их профессиональной деятельности. Профессиональная тайна включает: тайну предприятий связи и транспорта, банковскую, врачебную тайну, тайну налоговых органов, тайну страхования, нотариальную, адвокатскую тайну, тайну органов ЗАГС, тайну исповеди. Одной из главных задач является защита персональных данных граждан, личной и семейной тайны. К профессиональной тайне мы относит также тайну мастерства.

Тайна семейная – тайна нескольких физических лиц, членов семьи. Близко примыкает к личной тайне, но не тождественна ей по составу защищаемых сведений.

Тайна служебная – конфиденциальные сведения, входящие в понятие информационных ресурсов ограниченного доступа и относящиеся к служебной деятельности государственных учреждений, организаций и предприятия. Доступ к этим сведениям ограничен в интересах обеспечения безопасности информации указанных структур. Подобные сведения не подлежат широкому распространению, оглашению или опубликованию в средствах массовой информации и используются исключительно в целях решения управленческих или производственных задач, например проекты готовящихся документов, рабочие инструкции и др. Состав сведений, составляющих служебную тайну, определяется руководством учреждений, организаций и предприятий. Отнесением к служебной тайне защищаются персональные данные, концентрируемые в службах персонала (отделах кадров) государственных и негосударственных структур. К служебной информации ограниченного распространения не могут быть отнесены: законодательные акты, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации; сведения о чрезвычайных ситуациях; описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также адрес; порядок рассмотрения и разрешения заявлений и обращений граждан и юридических лиц; сведения об исполнении бюджета; документы, накапливаемые в открытых фондах библиотек и архивов.

Тайнопись — см. Криптография. Технические средства охраны, сигнализации и идентификации – специальные сооружения, оборудование и приборы, создающие препятствия на пути злоумышленника и оповещающие персонал охраны о попытке несанкционированного проникновения в здание фирмы, хранилища, другие охраняемые, выделенные помещения, к компьютерам, средствам связи. Включают физические препятствия (заборы, решетки на окнах, контрольно-пропускные пункты и др.), средства визуального наблюдения и видеозаписи (телевизионные системы), сигнальные системы различного типа, оповещатели о повреждениях средств охраны и др. В состав указанных средств входят также оповещатели о задымлении в помещениях и возгорании, технические средства идентификации персонала при организации пропускного режима: кодовые замки, магнитные и иные карты, биологические идентификаторы.

Технологическая система обработки и хранения конфиденциальных документов – упорядоченный комплекс организационных и технологических процедур и операций, обеспечивающих служб и технических средств, предназначенных для практической реализации задач, стоящих пред функциональными элементами (стадиями) документопотока. Технология обработки и хранения конфиденциальных и открытых документов базируется на единой научной и методической основе, призванной решить задачи обеспечения документированной информацией управленческие и производственные процессы. Одновременно технологическая система обработки и хранения конфиденциальных документов решает и другую не менее важную задачу – обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности. Данная система распространяется не только на управленческую (деловую) документацию, но и на конструкторские, научно-технические и другие документы, документированную информацию, записанную на любом типе носителей информации, документы, хранящиеся в ведомственном архиве. Технология обработки документов долговременного срока (периода) конфиденциальности имеет усложненный характер, в то время как документы кратковременного периода конфиденциальности обрабатываются и хранятся по упрощенной схеме и могут не выделяться из технологической системы обработки открытых документов при наличии в этой системе минимальных защитных, контрольных и аналитических элементов. Система может быть традиционной, т. е. делопроизводственной, ручной (см. Делопроизводство конфиденциальное), автоматизированной или смешанной. Смешанные системы предполагают разнообразные варианты совмещения традиционной и автоматизированной систем при обработке документов. Они особенно широко используются в обработке конфиденциальных документов.

Технологическая система обработки и хранения конфиденциальных документов автоматизированная – комплекс организационных и технологических процедур и операций с документами, выполняемый на базе вычислительной техники и средств связи. Система, как и традиционная, делопроизводственная, обеспечивает конкретные потребности персонала в конфиденциальной информации. В силу специфики конфиденциальных документов автоматизированные системы делопроизводственной ориентации в большинстве случаев имеют информационно-справочный характер и оперируют исходными и рабочими данными о документах. Особенностями автоматизированной технологии обработки и хранения конфиденциальных документов являются: обязательное наличие иерархической системы разграничения доступа к информации, хранящейся как в машинных массивах, так и на магнитных носителях вне ЭВМ; закрепление за каждым пользователем строго определенного состава массивов электронной информации и магнитных носителей; сохранение информационной базы учетной функции и функции персональной ответственности за целостность носителя и конфиденциальность информации за традиционной технологией с использованием распечаток на бумажном носителе электронных учетных карточек и описей документов; обязательный учет местонахождения и движения всех электронных документов, находящихся как в ЭВМ, так и на магнитных носителях вне ЭВМ, и др.

Технология информационная защищенная – совокупность комплексных технологических систем, организационных структур, ограничительных методов и технических средств, предназначенных для традиционной и (или) автоматизированной обработки конфиденциальной информации и документов, решающих задачи информационного обеспечения управленческой и производственной деятельности в жестких условиях информационной безопасности обрабатываемых информационных ресурсов.

Увольнение сотрудников, обладающих конфиденциальной информацией — процедура, имеющая ряд особенностей, связанных с необходимостью получения определенных гарантий, что увольняемое лицо не будет разглашать информацию, к которой имело доступ, или не будет использовать ее в своих целях. К этим особенностям можно отнести: проверку наличия сдачи по описи всех числящихся за увольняемым лицом документов, дел и носителей информации, собеседование увольняемого лица с сотрудником службы безопасности или службы персонала по обязательствам, связанным с сохранением тайны фирмы, подписание этим лицом обязательства о неразглашении конфиденциальных сведений после увольнения. До истечения срока конфиденциальности сведений, с которыми работал уволившийся сотрудник, его деятельность в другой фирме находится под контролем службы безопасности.

Угроза безопасности конфиденциальной информации – единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы конфиденциальной информации создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию. Причиной, способствующей наступлению неблагоприятных для информации событий или возникновению дестабилизирующих воздействий (опасностей), является выявленная злоумышленником уязвимость интересующей его ценной информации. Подобные события, воздействия возникают случайно или преднамеренно при наличии санкционированного или несанкционированного канала доступа к конфиденциальной информации. Основными угрозами безопасности информации можно назвать следующие: несанкционированный доступ, противоправное использование, модификация, уничтожение, подмена, фальсификация, гибель или порча документов при стихийном бедствии и др.

Уничтожение документов, дел и носителей информации — комплекс технологических приемов и правил, исключающих возможность ознакомления посторонних лиц с уничтожаемыми конфиденциальными материалами или подмены материалов. Указанный порядок предусматривает: коллегиальность принятия решения об уничтожении документов и самого процесса уничтожения; документирование (актирование) подготовки к уничтожению и уничтожения документов; внесение комиссией отметок об уничтожении в акт и учетные формы только после фактического уничтожения документов. Чистые носители информации, а также носители, содержащие черновики и проекты документов, испорченные носители уничтожаются без составления акта.

Установление грифа конфиденциальности – этап стадии исполнения конфиденциального документа на любом носителе. В наибольшей безопасности находится информация, не зафиксированная (недокументированная) на каком-либо носителе. Угрозы информации появляются как только возникает мысль о необходимости ее документирования. В связи с этим система защиты полдня начинать функционировать не после издания конфиденциального документа, а заблаговременно, т. е. до момента нанесения на чистый лист бумаги первых письменных знаков текста будущего документа. Для реализации мысли о создании документа решаются вопросы: является ли данная информация конфиденциальной и, если является, то какой уровень грифа ограничения доступа к ней персонала должен быть ей присвоен. Своевременное установление грифа ограничения доступа позволяет обеспечить относительно надежную защиту документированной информации. В основе установления уровня грифа конфиденциальности лежат перечни конфиденциальных сведений и конфиденциальных документов фирмы, требования [Партнеров по работе. Система грифования (маркирования) документов не гарантирует сохранность носителя и конфиденциальность информации, однако позволяет четко организовать технологию работу с документами и, в частности, сформировать разрешительную систему доступа к документам персонала.

Утечка конфиденциальной информации— неконтролируемый выход конфиденциальной информации за пределы фирмы или охраняемой зоны. Связана с возможным перехватом информации злоумышленником с помощью технических средств разведки (см. Средства несанкционированного доступа к информации), формированием технических каналов утечки информации.

Утрата информацией конфиденциальности – переход информации в категорию общедоступной, известной конкуренту, информации открытого доступа. Санкционированной может быть только одна причина – снятие с традиционного или электронного документа грифа конфиденциальности в соответствии с установленными в фирме правилами. Несанкционированных причин может быть несколько, но все они являются следствием утраты конфиденциальности информации.

Утрата конфиденциального документа, носителя – безвозвратное несанкционированное исчезновение, не восстанавливаемое повреждение или гибель документа, дела, базы данных, файла, любого типа носителя, содержащих конфиденциальную информацию, происшедшие в результате экстремальной ситуации или случайной причины (ошибочных действий персонала при работе с ЭВМ, ошибочного уничтожения документа, дела и др.). Утрата может быть спровоцирована злоумышленником (введение в заблуждение сотрудника фирмы, кража, уничтожение, подмена документа и др.). В результате ошибочных действий персонала злоумышленник может получить доступ к нужному ему документу, носителю или делу. Утрата документа, носителя в большинстве случаев приводит к утрате информацией конфиденциальности.

Утрата конфиденциальной информации – результат безответственных действий персонала (опубликование конфиденциальных сведении, включение этих сведений в открытый документ, их разглашение и др.), нарушения разрешительной системы доступа к конфиденциальной информации (переход конфиденциальной информации к лицу, не имеющему права владения ею, и др.), утраты документа, носителя или их временного нахождения у постороннего лица, их копирования, целенаправленных действий злоумышленника (провоцирование персонала на ошибочные или безответственные действия, получение информации от сообщника – сотрудника фирмы, перехват информации, предаваемой по незащищенным каналам связи, и др.). Опасность утраты конфиденциальной информации наблюдается на всех стадиях и этапах движения. документов, при выполнении любых управленческих и технологических процедур и операций. Утрата конфиденциальной информации всегда приводит к утрате информацией конфиденциальности.

Учет архивных документов – установление количества и состава архивных документов в единицах учета и фиксация принадлежности каждой единицы учета к определенному комплексу и общему их количеству в учетных документах.

Учет инвентарный – фиксирование состава и сведений о конфиденциальной технической документации, сброшюрованных документах, документах выделенного хранения и других документах на любом носителе и не включаемых в номенклатуру дел. В предпринимательских структурах на инвентарный (списочный, перечневый) учет, как правило, ставятся носители информации (документы предварительного учета), а также законченные производством дела, учетные журналы и картотеки. Журнал или картотека инвентарного учета ведутся на протяжении нескольких лет. Инвентарный номер проставляется на деле, носителе, альбоме и др. в правом верхнем углу обложки, титульного листа, футляра, оболочки.

Учет конфиденциальных документов – фиксирование исходных и рабочих сведений о документе, его комплектности и целостности всех элементов, контроле местонахождения документов и доступа к ним персонала, проверке реального наличия документов и результатов аналитической работы по осведомленности персонала с содержанием документов. Учет конфиденциальных документов всегда ведется централизованно в службе конфиденциальной документации и включает следующие процедуры: индексирование документов, первичная регистрация исходных сведений о документе, формирование картотек, ежедневная проверка правильности регистрации документов и их наличия. В предпринимательских структурах целесообразно вести следующие виды учета конфиденциальных документов и дел: учет пакетов (конвертов), содержащих конфиденциальные документы, а также учет поступления незаконвертоваиных документов, документов, поступивших по телеграфной, электронной почте и факсимильной связи с грифом конфиденциальности (пакетный учет); пакетный учет документов, не имеющих грифа конфиденциальности, но отнесенных к документам ограниченного доступа в перечне конфиденциальных документов данной фирмы; учет поступивших (входящих, входных) документов; учет подготовленных отправляемых и внутренних документов; инвентарный учет, номенклатурный учет дел (см. Номенклатура конфиденциальных дел). Учет конфиденциальных документов может быть традиционным (журнальным, карточным) и автоматизированным.

Учет местонахождения документа – обязательное требование к ведению справочно-информационного банка данных по документам, обеспечивающее постоянный контроль наличия документа и позволяющее последовательно фиксировать фамилии сотрудников, несущих персональную ответственность за сохранность носителя и конфиденциальность информации. Отметка о местонахождении документа ставится в контрольном журнале или на втором экземпляре учетной карточки документа (см. Учетные формы конфиденциальных документов). Отметка содержит дату и фамилию исполнителя или работника службы конфиденциальной документации, который расписался в учетной форме за получение документа.

Учет носителей конфиденциальной информации, документов предварительного учета – см. Оформление и учет носителей конфиденциальной информации.

Учет осведомленности сотрудника в тайне фирмы – фиксирование каждого обращения к конфиденциальному документу, ознакомления с ним сотрудника в любой форме (в том числе случайное, несанкционированное). Отражается в учетной карточке документа и на самом документе в виде соответствующей отметки и росписи лица, обращавшегося к документу. Этот факт указывается также в карточке учета осведомленности сотрудника втайне фирмы. По факту несанкционированного ознакомления с документом проводится служебное расследование.

Учет пакетов, конвертов («пакетный учет») – фиксирование сведении о составе поступивших пакетов с документами. Обеспечивает контроль сохранности, Целостности и комплектности документов; документированное удостоверение факта получения пакета с конфиденциальным документом от службы доставки с целью предотвращения утраты документа после вскрытия пакета; формирование исходной учетной базы для последующей регистрации поступившего документа и стадий его движения; контроль соответствия количества поступивших документов количеству документов, переданных на регистрацию; установление связи исходящего номера поступившего документа с его регистрационным номером и номером в передаточной учетной форме; предотвращение утраты частей документа за счет неполного изъятия документа из пакета; исключение возможности ознакомления работников службы конфиденциальной документации с документами, составляющими особую ценность или имеющими помету «Лично»; установление возможного факта несанкционированного вскрытия пакета на пути его следования до адресата; обеспечение проверки наличия документов, зарегистрированных в журнале (описи) учета пакетов. В журнал (опись) учета пакетов вносятся также незаконвертованные и электронные документы с целью решения указанных выше задач. При работе с пакетами выполняются следующие процедуры: прием пакетов, учет пакетов, распределение по участкам службы конфиденциальной документации, вскрытие пакетов и изъятие конфиденциальных документов, выделение конфиденциальных документов из общего потока неконфиденциальных документов, внесение этих документов в журнал учета пакетов, закрытие журнала учета пакетов.

Учет подготовленных документов – см. Изготовление конфиденциального документа.

Учет поступивших документов– фиксирование сведений о каждом поступившем документе на любом носителе. Технологически тесно связан с учетом поступивших пакетов и незаконвертированных документов. Учету подлежат все зарегистрированные в журнале (описи) учета пакетов конфиденциальные документы независимо от предполагаемого срока (периода) их конфиденциальности. Технология традиционного и автоматизированного учета мало отличается от аналогичной технологии регистрации открытых документов. При вводе в автоматизированный банк данных реквизитов и текста конфиденциального документа дополнительно выполняют следующие процедуры: изготовление на учтенном носителе страховой и резервной копий документа; обозначение на бумажном документе или сопроводительном письме к машиноориентированному документу (дискете и т. п.) отметки о вводе документа в базу данных с указанием его учетного номера; подшивка бумажного документа в дело в соответствии с номенклатурой дел службы конфиденциальной документации и помещение страховой или резервной дискеты (в том числе поступившей дискеты) в ячейку места хранения.

Учетные формы конфиденциальных документов – журнальные (перечневые, списочные), карточные, формы в виде инвентарных описей документов, номенклатур. Могут изготовляться на бумажном, картонном носителе или быть в электронном виде и высвечиваться на экране дисплея. В учетных формах фиксируются факты регистрации исходных сведений о документе, факты переноса информации с бумажного носителя на магнитный, факты регистрации рабочих сведений о документе, факты изменения местонахождения документа и др. Учетные формы должны отражать весь «жизненный цикл» документа в данной фирме. Особенностью карточных учетных форм конфиденциальных документов является необходимость постоянного контроля их сохранности. С этой целью факт заполнения карточки фиксируется в специальном контрольном журнале, в котором указывается номер карточки и отражается динамика изменения местонахождения документа (см. Учет местонахождения документа). В целях исключения из технологии учета журнальной формы может заполняться на документ второй экземпляр карточки, который помещается в валовую (нумерационную) картотеку и выполняет функцию контрольного журнала (см. Картотека учетная). Помимо основных существуют также промежуточные (рабочие) учетные формы – передаточный журнал для регистрации факта передачи документа и его карточки с одного участка на другой службы конфиденциальной документации, внутренняя опись документов, находящихся у исполнителя, карточка учета выдачи документа, карточка разрешения и учета выдачи дела и др. При автоматизированном учете ведутся учетные описи документов или электронных учетных карточек, хранящихся в массивах или на магнитных носителях.

Уязвимость информации – объективное свойство информации подвергаться различного рода воздействиям (опасностям, угрозам), нарушающим ее целостность, достоверность и конфиденциальность. Воздействия носят дестабилизирующий по отношению к информации характер и приводят к утрате носителя конфиденциальной информации или утрате конфиденциальности информации. Уровень уязвимости информации находится в прямой зависимости от степени совершенства применяемой в фирме системы защиты информации, перекрытия этой системой всей сферы возможных угроз и предполагаемых сигналов несанкционированного доступа к информации.

Фальсификация документов – изготовление и использование в каких-либо целях ложного документа, в том числе злоумышленной подмены подлинного документа в целом или его отдельных частей поддельными, изготовленными для приобретения незаконных прав, выполнения противоправных действий в отношении фирмы или ее персонала. К фальсифицированным относятся также так называемые фиктивные документы – документы, не существующие в подлинном виде (финансовые и банковские документы, Контракты и др.). При невнимательных или безответственных действиях персонала эти документы принимаются как подлинники. Фальсификация может быть частичной, например подмена в документе отдельных листов с изменением текста, исправление дат, подделка подписи, печати, допечатывание фиктивного текста перед подписью руководителя. Частичная фальсификация выполняется путем подчистки существующих сведений и впечатывания (вписывания) новых, исправления сведений с помощью корректирующей жидкости, использования копировальной техники и другими способами. При фальсификации документов часто используются подлинные бланки документов, организационная техника фирмы, подлинные печати и штампы. Фиктивные документы иногда имеют подлинную подпись руководителя, которая была поставлена в результате его невнимательности или введения в заблуждение.

Формирование конфиденциальных дел – комплектование документов в дела в соответствии с их систематизацией в номенклатуре конфиденциальных дел. Осуществляется всегда централизованно в службе конфиденциальной документации. Формирование и хранение дел с конфиденциальными документами (конфиденциальных дел) на рабочих местах сотрудников фирмы не разрешается. При формировании конфиденциальных документов в дела должна соблюдаться разрешительная система доступа персонала к делам, документам и электронной информации, обеспечиваться взаимосвязь местонахождения документа в деле с его предыдущими учетными формами и номерами, строго выполняться инструктивные требования по обеспечению сохранности дел и документов. Дело (том) может быть закрыто только после исполнения и подшивки в него всех документов, относящихся к данному делу и году. В дело включаются только конфиденциальные документы. После снятия грифа конфиденциальности документ перемещается в аналогичное по заголовку дело открытого доступа. При этом нумерация листов дела сохраняется, но отсутствующие листы оговариваются во внутренней описи конфиденциальных документов дела с указанием причины изъятия документа и его нового местонахождения. Такая же отметка делается в учетной форме документа. Аналогичным образом осуществляется изъятие электронного документа из архивного массива компьютера службы конфиденциальной документации. После изъятия из дела последнего документа, с которого снят гриф конфиденциальности, обложка дела с описью документов продолжает храниться на протяжении указанного в номенклатуре срока и затем уничтожается. Отметка об уничтожении вносится в номенклатуру дел соответствующего года.

Формуляр документа – набор реквизитов официального письменного документа, расположенных в определенной последовательности.

Формуляр-образец – модель построения документа, устанавливающая область применения, форматы, размеры полей, требования к построению конструкционной сетки и основные реквизиты.

Хранение конфиденциальных документов и дел — нахождение документов и дел в специальном хранилище, обеспечивающем их сохранность. Осуществляется службой конфиденциальной документации в отношении неисполненных и исполненных документов. Документы хранятся в папках, на которых указывается их целевое назначение: фамилии сотрудников фирмы, которым направляются документы, или наименование предстоящих действий, процедур и операций (подшивка вдело, отправление и т. п.). Каждая папка должна иметь опись находящихся в ней документов. Хранить документы в россыпи в ящиках столов, в шкафах и сейфах не допускается. Аналогичным образом хранят неисполненные документы в рабочее время сотрудники фирмы. По окончании рабочего дня они должны все документы сдать в службу конфиденциальной документации. Текущие и архивные конфиденциальные дела хранятся в службе конфиденциальной документации и при необходимости выдаются исполнителям. Выдача дел фиксируется в учетной карточке разрешений и выдачи. Дела хранятся в сейфах, металлических шкафах, которые всегда должны быть заперты. На внутренней стороне дверцы шкафа, сейфа должна быть наклеена опись хранимых архивных дел или номенклатура дел текущего года с указанием расположения дел на каждой полке и очередностью эвакуации дел при экстремальных ситуациях. Дела располагаются в последовательности их нумерации. Магнитные носители хранятся по тому же принципу в вертикальном положении, в футлярах и специальных ячейках.

Шифр – совокупность условных знаков для преобразования информации в вид, исключающий ее восстановление (дешифрование и прочтение) в условиях отсутствия у злоумышленника ключа для раскрытия шифра.

Шифрование – криптографическое (математическое, алгоритмическое) преобразование информации с целью получения шифрованного текста или устной речи (см. также Криптография).

Шпионаж — похищение, добывание, собирание и передача с целью корыстного использования или выдачи конкуренту (противнику) сведений, составляющих тайну.

Шпионаж промышленный – получение предпринимателем самостоятельно или с помощью соответствующих специалистов (злоумышленников), обманным или иным незаконным путем конфиденциальной информации с целью овладения ею для достижения технического, технологического или коммерческого преимущества, банкротства конкурента. Экономическая сущность промышленного шпионажа – экономия средств на разработку новой идеи, продукции, за счет кражи нужной информации у конкурента. Один из основных видов недобросовестной конкуренции.

Шпионаж экономический – широкое понятие, которое охватывает такие виды шпионажа, как промышленный, коммерческий, научно-технический, производственный и др. Его результат – получение экономическим сообществом приоритетных позиций в сферах производства, банковского дела, торговли, управления рынком товаров и услуг.

Экспертиза ценности документов – отбор документов на государственное хранение или установление сроков хранения на основе принятых критериев.

Экстремальная (чрезвычайная) ситуация — явление, событие, нарушающее нормальное функционирование фирмы, работу персонала, создающее опасность для целостности и сохранности здания, помещений, оборудования и документации фирмы, угрожающее жизни и здоровью сотрудников. Экстремальные ситуации объективного характера связаны со стихийными бедствиями (ураганами, наводнениями и др.), неуправляемыми процессами, военными действиями, кризисами, авариями энергоснабжения и водоснабжения и другими подобными событиями. Экстремальные ситуации могут быть случайного (фатального) характера – возгорание оборудования и коммуникаций, разрушение конструкций, а также связаны с неосторожностью и безответственностью персонала (возгорания от неосторожного обращения с огнем, курения на рабочих местах, неумелой эксплуатации оборудования и др.). Субъективный характер носят экстремальные ситуации, которые умышленно спровоцированы злоумышленником или его сообщником: поджег, взрыв, задымление помещений, организация паники, силовое вооруженное проникновение в здание криминальных элементов и др. В отношении отдельных сотрудников фирмы также могут быть организованы злоумышленные действия, включающие: шантаж, взятие в заложники, физическое или психическое воздействия, кражи близких родственников и др. Локализация и ликвидация экстремальных ситуаций осуществляется правоохранительными органами, службами экстремальной помощи при содействии руководства фирмы и службы безопасности (см. также Действия персонала в экстремальных ситуациях). Ликвидация экстремальных ситуаций только сотрудниками фирмы не допускается, так как эта работа требует специальных знаний и умений.

Юридическая сила документа – свойство официального документа, сообщаемое ему действующим законодательством, компетенцией издавшего его органа и установленным порядком оформления. Предполагает наличие в документе основных реквизитов (обозначения автора, вида документа, его даты, текста), а также наличие для данного вида документа состава удостоверения его подлинности – подписи, грифов утверждения или согласования, виз, печати, отметки о заверении копии).

Название книги

Информационная безопасность. Курс лекций

Артемов А. В.

Глоссарий

Основные термины и определения в области информационной безопасности офисной деятельности