Доступ персонала к конфиденциальным сведениям, документам и базам данных

     Это дает возможность разделить знание элементов коммерческой тайны среди  как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть. Дробление информации также не позволяет конкурентам использовать ее за счет приема на работу уволенного из фирмы сотрудника. 

     При составлении конфиденциального  документа следует учитывать, что  его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала  к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной по возможности одному конкретному исполнителю или структурному подразделению. 

     В соответствии с иерархической последовательностью  доступа определяется структура  рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений. Этим обеспечивается недоступность таких сведений для случайных людей, злоумышленника и определяется необходимый уровень защищенности информации. 

     Разрешение  на доступ к конфиденциальным сведениям  строго персонифицировано, т. е. руководители несут персональную ответственность  за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами. 

     Руководитель  фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям руководителей, сотрудников и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишние децентрализация и либерализация создают условия для утраты ценных сведений. 

     Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и сотрудникам, но в пределах своей компетенции. 

     Руководителям структурных подразделений дается право разрешать доступ к конфиденциальным сведениям всем сотрудникам своих  подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчиненным ему сотрудникам. Для осуществления доступа к документам данного подразделения сотрудника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы. 

     Ответственные исполнители работ (направлений  деятельности) имеют право давать разрешение на доступ к конфиденциальной информации подчиненным им сотрудникам  и в пределах их компетенции. В  небольших фирмах разрешение на доступ дает только первый руководитель. 

     Представителям  государственных структур разрешение на доступ к конфиденциальным сведениям  дает только первый руководитель фирмы. При решении вопроса о необходимости  доступа к конфиденциальным сведениям  представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ дает должностное лицо фирмы, включенное в специальный перечень, прилагаемый к договору и утвержденный первым руководителем. 

     Руководитель  фирмы, вне зависимости от формы  ее собственности, может устанавливать  иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы. Он несет за это единоличную ответственность. 

     Разрешение  на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденный руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т. п. 

     Без дополнительного разрешения допускаются  к документам: их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциальной документации (КД) обязан принять необходимые меры по исключению возможности ознакомления руководителей и сотрудников с другими частями документа. 

     Разрешение  на доступ к конфиденциальным сведениям  представителя другой фирмы или предприятия оформляется резолюцией Полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу в помещении фирмы. 

     Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации. 

     При организации доступа сотрудников  фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части: 

     - доступ к персональному компьютеру, серверу или рабочей станции;

     - доступ к машинным носителям  информации, хранящимся вне ЭВМ;

     - непосредственный доступ к базам  данных и файлам. Доступ к персональному  компьютеру, серверу или рабочей  станции, которые используются  для обработки конфиденциальной  информации, предусматривает:

     - определение и регламентацию  первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находятся соответствующая вычислительная техника, средства связи;

     - регламентацию первым руководителем  временного режима нахождения  этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

     - организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

     - организацию контролируемого (в  необходимых случаях пропускного)  режима входа в указанные помещения  и выхода из них;

     - организацию действий охраны  и персонала в экстремальных  ситуациях или при авариях  техники и оборудования помещений;

     - организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей. 

     Несмотря  на то что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести "уборку мусора"). 

     Доступ  к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает: 

     - организацию учета и выдачи  сотрудникам чистых машинных  носителей информации;

     - организацию ежедневной фиксируемой  выдачи сотрудникам и приема  от сотрудников носителей с  записанной информацией (основных  и резервных);

     - определение и регламентацию  первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтенные машинные носители информации;

     - организацию системы закрепления  за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;

     - организацию порядка уничтожения  информации на носителе, порядка  и условий физического уничтожения  носителя;

     - организацию хранения машинных  носителей в службе КД в  рабочее и нерабочее время,  регламентацию порядка эвакуации  носителей в экстремальных ситуациях;

     - определение и регламентацию  первым руководителем состава  сотрудников, не сдающих по  объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников. 

     Работа  сотрудников службы КД и фирмы  в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами. 

     Доступ  к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете он может просто унести компьютер или вынуть из него и унести жесткий диск, не взламывая базу данных. 

     Обычно  доступ к базам данных и файлам подразумевает: 

     - определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;

     - именование баз данных и файлов, фиксирование в машинной памяти  имен пользователей и операторов, имеющих право доступа к ним;

     - учет состава базы данных и  файлов, регулярную проверку наличия,  целостности и комплектности  электронных документов;

     - регистрацию входа в базу данных, автоматическую регистрацию имени  пользователя и времени работы; сохранение первоначальной информации;

     - регистрацию попытки несанкционированного  входа в базу данных, регистрацию  ошибочных действий пользователя, автоматическую передачу сигнала  тревоги охране и автоматическое  отключение компьютера (особенно  при использовании сетевой компьютерной технологии);

     - установление и нерегулярное  по сроку изменение имен пользователей,  массивов и файлов (паролей, кодов,  классификаторов, ключевых слов  и т. п.), особенно при частой  смене персонала;

     - отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

     - механическое (ключом или иным  приспособлением) блокирование отключенной,  но загруженной ЭВМ при недлительных  перерывах в работе пользователя. 

     Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и тому подобные атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором. Применение Пользователем собственных кодов не допускается.