План мероприятий по противодействию атаке на конфиденциальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации)

Вид материала

Регламент

Содержание Общие документы Документы по работе с кадрами Документы по защите АС и СВТ Нормативно-методическая и информационно справочная информация Руководящая и организационная информация Кадровая информация и информация по личному составу Финансово-бухгалтерская информация Регламент доступа в помещение Все виды информации и помещений По обеспечению сохранности 2. Присвоение и снятие грифа (пометки) “конфиденциально” документам, содержащим коммерческую тайну 3. Допуск сотрудников к сведениям, составляющим коммерческую тайну 4. Обязанности и ограничения, налагаемые на исполнителей, допущенных к сведениям, составляющим коммерческую тайну 5. Правила обращения (делопроизводство) документов, содержащих коммерческую тайну 6. Организация и контроль за обеспечением сохранности сведений, составляющих коммерческую тайну

Подобный материал:

• Аппаратные средства защиты информации, 18.65kb.
• Дств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение, 38.79kb.
• Статья «Технические каналы утечки информации» Вопрос : «Какие существуют технические, 106.49kb.
• 1. Виды информации, 175.18kb.
• Представление информации в ЭВМ, 73.88kb.
• Примерная тематика выпускных квалификационных работ по специальности «Организация, 96.17kb.
• Контрольная работа По дисциплине: тсу тема: Средства передачи речевой информации, 175.52kb.
• Реферат по дисциплине  на тему: «Защищенные информационные технологии в экономике», 354.88kb.
• Механизм уголовно-процессуального обеспечения недопустимости разглашения данных уголовного, 329.86kb.
• Расследование разглашения данных предварительного расследования и сведений о мерах, 382.46kb.

Конфиденциальная информация (проект)

Примерный план работ с КИ

Регламент обеспечения безопасности

- комплект документов, регламентирующий правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности. В регламенте должен быть определен комплекс методических, административных и технических мер, включающих в себя:

• создание подразделения(или выделение сотрудников), ответственного за обеспечение конфиденциальности информации (СОК);
  
• определение порядка допуска сотрудников к конфиденциальной информации;
  
• определение обязанностей, ограничений и условий, накладываемых на сотрудников, допущенных к конфиденциальной информации;
  
• установление категории конфиденциальности информации; определение категории конфиденциальности работ, проводимых Заказчиком и информации, содержащейся в документах, связанных с работами; порядок изменения категории конфиденциальности работ и информации;
  
• требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация, по категориям;
  
• требования к конфиденциальному делопроизводству;
  
• требования к учету, хранению и обращению с конфиденциальными документами;
  
• перечень документов, подлежащих грифованию «конфиденциально»;
  
• контроль за обеспечением конфиденциальности работ и информации;
  
• план мероприятий по противодействию атаке на конфиденциальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации);
  
• план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пресечения процесса разглашения/утечки информации);
  
• определение ответственности за разглашение конфиденциальной информации.
  

Для Регламента обеспечения безопасности должны быть разработаны следующие документы:

Общие документы

1. Инструкция по обеспечению режима конфиденциальности на предприятии.
   
2. Требования к пропускному и внутриобъектовому режиму.
   
3. Общие требования к системе разграничения доступа в помещения (СРД).
   
4. Регламент взаимодействия СОК и СБ.
   

Документы по работе с кадрами

1. Инструкция по работе с кадрами, подлежащими допуску к конфиденциальной информации.
   
2. Требования к лицам, оформляемым на должность, требующую допуска к конфиденциальной информации.
   

Документы по защите АС и СВТ

1. Режим конфиденциальности при обработке конфиденциальной информации с применением средств вычислительной техники.
   
2. Определение требований к защищенности Автоматизированной системы.
   
3. Концепция безопасности Автоматизированной системы (АС).
   
4. Анализ существующей АС.
   

Документы определяют работу комплексной системы защиты информации:

• в штатном режиме;
  
• изменения в штатном режиме работы;
  
• нештатный режим (аварийные ситуации).
  

Схема кодов доступа

№	Вид	Доступ	Условное обозначение на пропусках	Метка на ячейке
1	Нормативно-методическая и информационно справочная информация	Полный с правом передачи и изменения		…………
		Общий		…………
2	Руководящая и организационная информация	Полный с правом ознакомления, передачи и изменений		…………
		Ограниченный, с правом знакомиться с содержанием и вносить изменения в соответствии с должностной инструкцией		…………
		Общий		…………
3	Кадровая информация и информация по личному составу	Полный с правом передачи и изменения		…………
		Ограниченный, с правом знакомиться и вносить изменения в соответствии с должностной инструкцией		…………
		Общий		…………
4	Финансово-бухгалтерская информация	Полный с правом ознакомления, передачи и изменений		…………
		Ограниченный, с правом знакомиться и вносить изменения в соответствии с должностной инструкцией		…………
		Общий(отсутствие допуска)		…………
5	Регламент доступа в помещение	М. Профсоюзная, центральный офис
		М. Профсоюзная масла
		М. Третьяковская, карты
		………
6	Все виды информации и помещений	Полный доступ

Пример, внешний вид пропуска

На основании этого пропуска можно сделать вывод, что обладатель имеет право доступа в три основных помещения, полный доступ к справочной и кадровой информации, ограниченный – к управленческой и закрыт доступ к финансовой информации.

	ЛОГО
Угрюмова Ирина Николаевна Директор по персоналу

ИНСТРУКЦИЯ
ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ

КОММЕРЧЕСКОЙ ТАЙНЫ

1. Общие положения

1.1. Настоящая Инструкция определяет организацию и порядок ведения делопроизводства документов ограниченного обращения, образующихся в деятельности Общества.

1.2. Документы ограниченного обращения – это зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

1.3. Информация включает в себя сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

1.4. Сведения, незаконное использование, распространение или утрата которых могут способствовать причинению экономического ущерба, относятся к коммерческой тайне Общества. Они определяются и утверждаются Генеральным директором Общества в Перечне сведений, составляющих коммерческую тайну.

1.5. Правовыми основаниями указанной деятельности являются:

• пункт 5 Указа Президента РФ от 06.03.97 № 188 “Об утверждении Перечня сведений конфиденциального характера”;
  
• статья 2 Федерального закона от 30.11.94 № 52-ФЗ “О введении в действие части первой Гражданского кодекса Российской Федерации (ГК РФ)”. Статья 139 ГК РФ предо­ставляет предприятию право защищать информацию, содержащую коммерческую тайну;
  
• Федеральный закон от 20.02.95 № 24-ФЗ “Об информации, информатизации и защите информации”, ст. 21 которого гласит: “защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу”.
  

1.6. Сведениям, включенным в Перечень документов, содержащих коммерческую тайну, присваивается гриф “конфиденциально”, который проставляется в правом верхнем углу документа. Такой отличительный реквизит не является грифом государственной секретности, а лишь показывает, что право собственности на данную информацию принадлежит Обществу и охраняется законодательством.

1.7. Несанкционированное использование этой информации физическими или юридическими лицами (в т. ч. собственными служащими) может нанести ущерб интересам Общества и преследуется в соответствии с уставом Общества и законодательством РФ. Настоящая Инструкция регламентирует:

• правила присвоения и снятия грифа (пометки) “конфиденциально” документам, содержащим коммерческую тайну;
  
• порядок допуска сотрудников Общества и его структурных подразделений к сведениям, составляющим коммерческую тайну;
  
• обязанности и ограничения, налагаемые на исполнителей, допущенных к сведениям, составляющим коммерческую тайну;
  
• порядок обращения (делопроизводство) с документами, содержащими коммерческую тайну;
  
• организацию и контроль за сохранностью сведений, составляющих коммерческую тайну;
  
• ответственность сотрудников Общества за незаконное использование, разглашение либо утрату документов, содержащих коммерческую тайну, и иные нарушения установленного порядка их защиты.
  

2. Присвоение и снятие грифа (пометки) “конфиденциально” документам, содержащим коммерческую тайну

2.1. Право присвоения документам пометки “конфиденциально” возлагается на руководителей структурных подразделений Общества. Гриф “конфиденциально” документу присваивается только согласно утвержденному Перечню сведений, составляющих коммерческую тайну.

2.2. Снятие с документа грифа “конфиденциально”, присвоенного другим структурным подразделением, может производиться руководителем структурного подразделения Общества, получившего документ, только по письменному разрешению Генерального директора.

2.3. Сроки и порядок хранения документов с пометкой “конфиденциально” устанавливаются 3 (три) года.

3. Допуск сотрудников к сведениям, составляющим коммерческую тайну

3.1. Руководитель структурного подразделения устанавливает именной список сотрудников, выполнение служебных обязанностей которых связано с использованием сведений, составляющих коммерческую тайну. Списки передаются юрисконсульту юридического отдела, обобщаются и утверж­даются Генеральным директором Общества. Утвержденный список представляется в службу безопасности Общества.

3.2. К работе со сведениями, составляющими коммерческую тайну, не могут быть допущены лица, не состоящие в штате Общества, а также сотрудники других организаций и частные лица, временно взаимодействующие с Обществом (по трудовому соглашению, договору подряда, находящиеся на стажировке и т. д.).

3.3. Исключение составляют лица, допущенные к работе с документами конфиденциального характера по указанию Генерального директора Общества.

3.4. Порядок предоставления информации (в т. ч. конфиденциального характера) контролирующим органам регламентирован Федеральным законом от 08.08.01 № 134-ФЗ “О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)”.

3.5. На сотрудников, имевших доступ к сведениям, составляющим коммерческую тайну, при их переходе в другое подразделение допуск (при необходимости) оформляется руководителем этого структурного подразделения в порядке, предусмотренном п. 3.1 настоящей Инструкции.

3.6. В случае временного отсутствия лица, ответственного за ведение конфиденциального делопроизводства (отпуск, болезнь, командировка и т. п.), его функции передаются руководителю структурного подразделения без составления акта приема-передачи, но с отражением даты передачи в соответствующих журналах учета.

3.7. При увольнении (переходе в другое подразделение) лица, ответственного за ведение конфиденциального делопроизводства, документы с пометкой “конфиденциально” передаются вновь назначенному сотруднику с составлением акта приема-передачи. Акт подписывается сотрудниками, сдающими и принимающими дела, а также руководителем структурного подразделения.

3.8. Все сотрудники Общества в установленной форме дают обязательство о сохранении коммерческой тайны. Обязательство хранится в личном деле сотрудника.

3.9. Руководитель структурного подразделения может принимать решение об отстранении сотрудников от работы со сведениями, составляющими коммерческую тайну, в случаях нарушения ими требований настоящей Инструкции, а также при возникновении обстоятельств, препятствующих их дальнейшему допуску к указанным сведениям.

3.10. Отстранение сотрудников от работы со сведениями, составляющими коммерческую тайну, обосновывается руководителем структурного подразделения в служебной записке, которая направляется юрисконсульту юридического отдела и в службу безопасности Общества.

4. Обязанности и ограничения, налагаемые на исполнителей, допущенных к сведениям, составляющим коммерческую тайну

4.1. Руководитель структурного подразделения, сотрудники, допущенные к работе с документами ограниченного обращения, несут персональную ответственность за обеспечение сохранности сведений, составляющих коммерческую тайну, и обязаны:

• не допускать разглашение или использование (без разрешения руководства Общества) сведений, составляющих коммерческую тайну;
  
• знакомиться только с теми документами с пометкой “конфиденциально”, которые необходимы им для выполнения своих служебных обязанностей;
  
• хранить документы, содержащие коммерческую тайну, в опечатываемых сейфах (металлических шкафах или иных хранилищах), не оставлять их без присмотра на рабочих столах;
  
• немедленно сообщать об утрате или недостаче документов с пометкой “конфиденциально”;
  
• при утрате удостоверений, пропусков, ключей от сейфов (металлических шкафов), а также при обнаружении излишних и неучтенных документов с пометкой “конфиденциально” немедленно сообщить об этом Генеральному директору Общества;
  
• в случае попытки посторонних лиц получить сведения, составляющие коммерческую тайну, немедленно сообщить об этом Генеральному директору Общества и руководителю службы безопасности и принять меры к обеспечению их сохранности;
  
• при увольнении, уходе в отпуск или выезде в командировку на срок более одного месяца документы с пометкой “конфиденциально” передать по описи руководителю подразделения либо назначенному им сотруднику.
  

4.2. Запрещается (без согласия руководства Общества):

• вносить в помещения, принадлежащие Обществу, кино- и фотосъемочную, звуко- и видеозаписывающую, радиопередающую и принимающую, а также множительно-копировальную аппаратуру, “Ноутбуки”, магнитные и оптические носители информации личного пользования;
  
• использовать сведения, составляющие коммерческую тайну, в диссертациях, публикациях в прессе, докладах и выступлениях на открытых совещаниях и конференциях.
  

4.3. Контроль сохранности документов конфиденциального характера руководители подразделений осуществляют совместно с сотрудником службы безопасности не реже одного раза в две недели.

5. Правила обращения (делопроизводство) документов, содержащих коммерческую тайну

5.1. При оформлении документа, содержащего коммерческую тайну, необходимо указать следующие реквизиты:

a) на лицевой стороне первого листа:

• пометку “конфиденциально” (правый верхний угол);
  
• номер экземпляра (под пометкой “конфиденциально”);
  
• регистрационный номер и дату (за исключением исходящих) (левый нижний угол);
  

б) на оборотной стороне последнего листа (левый нижний угол):

• количество экземпляров;
  
• количество приложений к нему (при их наличии);
  
• распределение экземпляров по адресатам;
  
• фамилию и инициалы исполнителя, изготовившего до­кумент, его рабочий телефон;
  
• количество снятых копий, их адреса.
  

5.2. Черновики документов с пометкой “конфиденциально” по завершении подготовки этих документов подлежат уничтожению.

5.3. Документы с пометкой “конфиденциально” подлежат самостоятельному учету (регистрации) и хранению.

5.4. Основным принципом учета является однократность присвоения регистрационного номера документам с пометкой “конфиденциально” (внутренним, входящим и исходящим).

5.5. Учет и хранение документов (исполненных, архивного хранения и т. п.) с пометкой “конфиденциально” осуществляется юридическим отделом, юрисконсульт которого заводит и ведет журналы:

• учета исходящих документов с пометкой “конфиденциально”;
  
• учета входящих документов с пометкой “конфиденциально”;
  
• учета внутренних документов с пометкой “конфиденциально”.
  

5.6. Журналы, перечисленные в п. 5.5 Инструкции, оформляются следующим образом:

• листы журналов должны быть пронумерованы и прошиты;
  
• конец прошивки должен быть заклеен бумажной лентой с подписью начальника отдела по делопроизводству;
  
• на последнем листе журнала делается запись о количестве пронумерованных листов за подписью лица, ответственного за учет документов с пометкой “конфиденциально”;
  
• на лицевой стороне обложки журнала указываются даты введения в действие и окончания журнала, сроки его хранения;
  
• в верхнем правом углу лицевой стороны обложки журнала проставляется пометка “К”, а под ним – регистрационный номер журнала.
  

5.7. В журналах запрещается: делать подчистки или исправления (в т. ч. с применением корректирующей жидкости), а внесенные ответственным работником какие-либо изменения заверяются его подписью с проставлением даты.

5.8. Журналы учета, перечисленные в п. 5.5, формируются по образцам, приведенным в приложении к настоящей Инструкции.

5.9. По заполнении журналы, перечисленные в п. 5.5, в течение 1 года хранятся в опечатываемом сейфе юрисконсульта юридического отдела. Хранение и уничтожение документации осуществляется в соответствии с утвержденной Обществом Номенклатурой дел.

5.10. Исходящие документы с пометкой “конфиденциально” для передачи в другое подразделение регистрируются юрисконсультом юридического отдела в журнале исходящих
до­кументов, запечатываются в пакет, на котором в правом верхнем углу проставляется надпись “конфиденциально”, в середине пакета указывается адресат.

5.11. Входящие документы с пометкой “конфиденциально” регистрируются в журнале учета входящих документов и передаются на рассмотрение Генеральному директору Общества или лицу, его замещающему.

Генеральный директор Общества адресует документ непосредственному исполнителю и возвращает его юрисконсульту юридического отдела, после чего юрисконсульт юридического отдела передает его для работы непосредственному исполнителю под роспись в соответствующей графе журнала учета входящих документов.

При наличии на пакете реквизита “Лично” пакет не вскрывается и передается Генеральному директору Общества (лицу, его замещающему), регистрации подлежит только номер пакета и регистрационный номер документа, указанный на пакете.

5.12. Документ с пометкой “конфиденциально”, переданный исполнителю, хранится у него в опечатываемом сейфе или ином хранилище в течение срока работы с этим документом, определяемого служебной необходимостью.

5.13. По истечении срока работы исполнитель возвращает до­кумент в юридический отдел, о чем делается соответствующая отметка в графах журнала учета входящих документов.

5.14. Документы с пометкой “конфиденциально”, создаваемые для обращения и работы внутри структурного подразделения, регистрируются в журнале учета внутренних документов отдела по делопроизводству.

5.15. При наличии служебной необходимости по письменному разрешению руководителя структурного подразделения с документов с пометкой “конфиденциально” могут сниматься копии, которые подлежат регистрации в журнале учета входящих документов (документов внутреннего обращения) с пометкой “конфиденциально”.

5.16. Снятие неучтенных копий документов категорически запрещается.

5.17. По письменному разрешению руководителя структурного подразделения внутренние документы с пометкой “конфиденциально”, а также копии этих документов могут направляться в другие самостоятельные подразделения. В этом случае они регистрируются в журнале учета исходящих документов в соответствии с п. 5.10 настоящей Инструкции.

5.18. Все документы с пометкой “конфиденциально”, возвращенные исполнителями в юридический отдел, подшиваются в отдельные папки и хранятся в опечатываемом сейфе (металлическом шкафу) отдельно от документов открытого характера до момента их уничтожения. Исключение составляют материалы открытого характера, составляющие одно целое с документами ограниченного обращения.

5.19. Уничтожение документов с пометкой “конфиденциально” производится по акту с составлением описи уничтожаемых документов. Акт подписывается комиссией из трех сотрудников, состав которой утверждается приказом Генерального директора Общества.

5.20. Ознакомление с конфиденциальными документами производится по служебной записке, содержащей обоснование на ознакомление. Решение о выдаче документа на ознакомление выносится с согласия руководителя структурного подразделения Общества, за исключением случаев, когда ознакомление обосновано приказом (распоряжением) по Обществу или резолюцией Генерального директора (его заместителей).

5.21. При обработке документов, содержащих коммерческую тайну, с использованием вычислительной техники, в т. ч. персональных компьютеров (ПК), должны выполняться следующие условия:

• обработка документов разрешается только сотрудникам Общества и его структурных подразделений, имеющим допуск к работе с этими документами;
  
• средства вычислительной техники, предназначенные для обработки и хранения документов, содержащих коммерче­скую тайну, определяются в соответствии с письменным указанием руководителя структурного подразделения с указанием данных сотрудников, допущенных к эксплуатации выделенных технических средств (ЭВМ);
  
• при хранении и обработке документов, содержащих коммерческую тайну, на жестком магнитном диске персонального компьютера должны быть предусмотрены програм­мные средства защиты, препятствующие несанкционированному доступу к документам;
  
• хранение и обработка документов, содержащих коммерче­скую тайну, на гибких магнитных дисках (дискетах) должны соответствовать требованиям, предъявляемым настоящей Инструкцией к учету и хранению документов, содержащих коммерческую тайну;
  
• магнитные дискеты, используемые для хранения и обработки документов, содержащих сведения ограниченного обращения, должны быть закреплены за конкретным пользователем в журнале учета дискет.
  

5.22. Обработка документов, содержащих сведения ограниченного обращения, с применением автоматизированных систем обработки данных (АСОД), автоматизированных банков данных (АБД), вычислительных центров (ВЦ), автоматизированных систем управления (АСУ), локальных сетей ЭВМ возможна лишь при обеспечении защиты программно-техническими средствами от несанкционированного доступа.

6. Организация и контроль за обеспечением сохранности сведений, составляющих коммерческую тайну

6.1. Контроль за обеспечением сохранности сведений, составляющих коммерческую тайну, возлагается на руководителей структурных подразделений Общества.

6.2. Проверки сохранности сведений, составляющих коммерче­скую тайну, службой безопасности Общества проводятся по указанию Генерального директора Общества с уведомлением руководителя проверяемого структурного подразделения или его заместителя.

6.3. Проверяющий имеет право: проверять наличие, учет, хранение всех документов с пометкой “конфиденциально”, проводить беседы с руководителями и исполнителями, требовать представления от них письменных объяснений, справок и отчетов.

6.4. По результатам проверки составляется акт (справка) с отражением в нем состояния обеспечения сохранности коммерческой тайны, выявленных недостатков и нарушений.

6.5. Акт (справка) и сопроводительная служебная записка (в которой отражаются предложения по устранению выявленных недостатков) направляются Генеральному директору или лицу, его замещающему.

6.6. Юрисконсульт юридического отдела производит ежегодную сверку наличия документов с грифом “конфиденциально” и их соответствие журналам учета. Результаты отражаются в справке и докладываются Генеральному директору Общества.

7. Ответственность за разглашение сведений, составляющих коммерческую тайну, утрату документов, содержащих такие сведения, и иные нарушения установленного порядка их защиты

7.1. Разглашение сведений, составляющих коммерческую тайну, – это предание их огласке лицом, которому эти сведения были доверены по службе или стали известны иным путем, в результате чего они стали достоянием посторонних лиц.

7.2. Утрата документов, содержащих коммерческую тайну, – это выход (в т. ч. временный) документов из владения лица, которому они были доверены по службе, вследствие нарушения им установленных правил обращения с документами.

7.3. Иные нарушения обеспечения сохранности коммерческой тайны – это нарушения требований настоящей Инструкции, которые могут привести к разглашению сведений, составляющих коммерческую тайну, либо к утрате документов, содержащих такие сведения.

7.4. Разглашение сотрудником сведений, составляющих коммерческую тайну, или утрата им документов, содержащих такие сведения, влечет ответственность в соответствии с законодательством Российской Федерации.

7.5. Иные нарушения обеспечения сохранности коммерческой тайны влекут дисциплинарное наказание сотрудника, совершившего эти нарушения.