Защищенный документооборот ООО Группа компаний «Мастер»

     Сотрудник приемной директора работает с деловой  перепиской предприятия, а также  принимает документы на подпись  директора, которые могут содержать  конфиденциальную информацию. Юрист  предприятия занимается разработкой договоров а также проверкой документов, разработанных деловыми партнёрами предприятия. Директор предприятия имеет доступ ко всем документам, циркулирующим в ООО Группа компаний «Мастер».

     Стоит отметить, что все сотрудники ООО Группа компаний «Мастер» пользуются для выполнения своих должностных обязанностей программой «1С:Предприятие», на компьютерах в бухгалтерии установлена «1С:Бухгалтерия», а на компьютерах в других отделах предприятия «1С:Управление торговлей», один из компьютеров бухгалтерии является сервером на котором хранится база данных программы «1С:Предприятие». С компьютера главного бухгалтера можно получить доступ к АС «Клиент - Сбербанк», которая используется для осуществления платежей, а также получения информации о банковском счёте предприятия. Из сказанного выше следует, что на данном объекте необходимо обеспечить защиту информации, содержащейся на компьютерах предприятия.

     Для бумажных документов целесообразно  ввести на предприятии следующие  грифы:

1. «Коммерческая тайна», для документов, содержащих сведения, отнесённые на предприятии к коммерческой тайне;
2. «Конфиденциально», для документов, содержащих персональные данные.

     Степень конфиденциальности сведений, содержащихся в документах имеющих грифы «Коммерческая  тайна» и «Конфиденциально» может быть равна, однако, в соответствии со п. 5 ст. 10 закона «О коммерческой тайне», на документы содержащие коммерческую тайну необходимо наносить гриф «Коммерческая тайна», а не какой-либо другой.

     Характеристика  конфиденциальной информации, циркулирующей в ООО Группа компаний «Мастер», приведена в Приложении Б.

1. Оценка  рисков информационных угроз безопасности защищённого документооборота

     Сегодня существует ряд подходов к измерению рисков. Наиболее распространенные из них оценка рисков по двум и по трем факторам. В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой (1). 

     Риск  = Р_{происшествия} × Цена потери (1) 

     В методиках, рассчитанных на более высокие  требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. В этих методиках  под понятиями «угроза» и «уязвимость» понимается следующее.

     Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

     Уязвимость - слабость в системе защиты, которая  делает возможным реализацию угрозы.

     Вероятность происшествия, которая в данном подходе  может быть объективной либо субъективной величиной, зависит от уровней угроз и уязвимостей и выражается формулой (2).  

     P_{происшествия} = Р_угрозы × Р_{уязвимости} (2) 

     Соответственно, риск рассчитывается по формуле (3). 

     Риск = Р_угрозы х Р_{уязвимости} × Цена потери (3) 

     Данное  выражение можно рассматривать  как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная.

     Оценим  риски информации на предприятии, используя методику оценки по трём факторам. Результаты оценки приведены в Приложении В.

2. Оценка  общего информационного  риска в организации

     Как видно из представленной в приложении таблицы суммарный информационный риск на предприятии составляет 460800 рублей. Бюджет предприятия не позволяет принять такой риск, отсюда следует, что необходимо снизить его до приемлемого уровня.

 

4.   Рекомендации по совершенствованию документооборота на предприятии

     Организационно-правовые нормы обеспечения безопасности и защиты информации на любом предприятии отражаются в совокупности учредительных и организационных документов.

     В Устав организации необходимо внести дополнения, перечисленные ниже. Раздел «Права и обязанности» следует дополнить  следующими пунктами:

     Фирма имеет право:

• определять состав, объем и порядок защиты конфиденциальной информации;
• требовать от сотрудников защиты конфиденциальной информации;
• осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.

     Фирма обязана:

• обеспечить экономическую безопасность и сохранность конфиденциальной информации;
• осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.

     Необходимо  в также добавить раздел «Конфиденциальная информация», который будет содержать следующее:

     Общество  организует защиту своей конфиденциальной информации.

     Состав  и объем сведений конфиденциального  характера, и порядок их защиты определяются генеральным директором.

     Внесение  перечисленных дополнений даёт администрации предприятии право:

• создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;
• издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
• включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);
• требовать защиты интересов фирмы перед государственными и судебными органами;
• распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.

     В Коллективный договор необходимо добавить требования, представленные ниже. В раздел «Предмет договора» необходимо добавить:

     Администрация обязуется в целях недопущения  нанесения экономического ущерба коллективу обеспечить разработку и осуществление  мероприятий по защите конфиденциальной информации.

     Трудовой  коллектив принимает на себя обязательства  по соблюдению установленных на фирме  требований по защите конфиденциальной информации.

     В раздел «Кадры. Обеспечение дисциплины труда» необходимо добавить: Администрация обязуется нарушителей требований по защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.

     Для защиты конфиденциальной информации в  организации должны быть разработаны  следующие нормативно-правовые документы:

• перечень сведений, составляющих коммерческую тайну;
• договорное обязательство о неразглашении коммерческой тайны;
• инструкция по защите коммерческой тайны.

     Защита  информации, представленной в электронном  виде, должна осуществляться в соответствии с требования РД ФСТЭК, и СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации).

     В первую очередь следует разработать  перечень сведений, составляющий коммерческую тайну (Приложение Г).

     Сведения, включенные в Перечень, имеют ограниченный характер на использование (применение). Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) её подразделений, а также при их сотрудничестве с работниками других предприятий.

     Перечень  должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.

     Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать  индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

     Далее должна быть разработана инструкция, регламентирующая порядок доступа  сотрудников к конфиденциальной информации (Приложение Д), порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.

 

 
Заключение

     В ходе проведения работы была дана краткая  характеристика ООО Группа компаний «Мастер», проанализирована законодательная база в области защиты конфиденциальной информации, проведено структурирование защищаемой информации на рассматриваемом объекте, оценены риски угроз информационной безопасности. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для ООО Группа компаний «Мастер».

     Поставленная  задача была решена достаточно полно, разработанные рекомендации, при следовании им обеспечат необходимый уровень безопасности документооборота на рассматриваемом предприятии.

 

 
Список  используемых источников

     1 Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учеб. пособие для вузов по спец. "Документоведение и документационное  обеспечение управления. ". — М.: ИНФРА-М, 2001. — 301 с. — (Сер.: Высшее образование)

     2 Документы и делопроизводство: Справочное  пособие /Т.В.Кузнецова, М.Т.Лихачев,  А.Л.Райхцаум, А.В.Соколов: Сост. М.Т.Лихачев. – М.: Экономика, 1991, 271 с.

     3 Торокин А.А. Основы инженерно-технической  защиты информации. - М.: Издательство "Ось-982, 1998 г. - 336 с.

     4 Сабинин, В. Н. Организация конфиденциального делопроизводства начало обеспечения безопасности информации в фирме [Электронный ресурс]; Режим доступа: http://www.informost.ru/news/05-09/13.php, свободный; Загл. с экрана.

 

 
Приложение  А

(обязательное)

Структура организации

       
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

 
Приложение  Б

(обязательное)

     Таблица 1 – Характеристика конфиденциальной информации, циркулирующей в ООО Группа компаний «Мастер»