Безопасность начинается с правильного документирования
Разработка и поставка систем: электронного документооборота, архивного дела и кадрового учета; оказание консультационных услуг в области делопроизводства и документооборота; реализация проектов, связанных с созданием отраслевых, региональных и корпоративных систем управления документационной деятельностью.– Дайте нам побольше современных технических средств (и соответствующий бюджет) и будет вам безопасность, мышь не проскочит!
Увы, часто за всем этим люди забывают о таких простых вещах, как процедуры доступа к информации и в результате все меры защиты оказываются бесполезными, а нарушитель еще и получает судебную защиту.
Случай из жизни
Офицер службы экономической безопасности Удмуртнефти, сливал информацию потенциальным участникам тендера, будучи ответственным за его подготовку. Это обнаружилось, нарушителя уволили — а он обратился в суд, и вот вам результат:
13 апреля 2011 года Октябрьским районным судом г. Ижевска принято решение о восстановлении на работе, взыскании заработка за время вынужденного прогула и компенсации морального вреда Ф.С.А., ранее уволенного из ОАО «Удмуртнефть» на основании пп.«в» п.6 ч.1 ст.81 ТК РФ за однократное грубое нарушение трудовых обязанностей – разглашение коммерческой тайны, ставшей известной в связи с исполнением трудовых обязанностей. Основание для принятого решения – выполнение работодателем требований о мерах по установлению режима коммерческой тайны не в полном объем, в том числе - отсутствие учета лиц, допущенных к ИКТ.
Дело в том, что в компании процедуры доступа к информации не были надлежащим образом задокументированы, а на документах, которые готовились в электронном виде, не было грифа «коммерческая тайна».
Весьма наглядный пример, для тех, кто считает проекты документов просто файлами, и не хочет видеть ничего, кроме официальных бумаг с печатью, подписью и регистрационным номером. Скажите на милость, зачем нарушителю ждать, пока документ будет распечатан и на наго поставят штампик с грифом, когда можно спокойно кинуть файл ровно с той же информацией по электронной почте — и за это ничего не будет?
Более того, в большинстве случаев никто и не узнает, ибо далеко не во всех организациях развернуты системы предотвращения утечек (DLP), и еще более в редких случаях они интегрированы с СЭД.
Документирование в интересах безопасности
Чтобы избежать подобных казусов, в организациях должна быть выстроена четкая система документирования всех процедур по защите информации. Не будем останавливаться на общеизвестных вещах — что должен быть приказ о введении режима коммерческой тайны, составлен перечень сведений, составляющих коммерческую тайну, организовано проставление грифов (в т.ч. и на проектах документов), и т. д. Аналогичным образом должна строится работа и вокруг других регулирующих актов — закона об инсайдерской информации, о персональных данных, и других отраслевых нормативных документах.
Придется позаботиться и о юридической значимости в гораздо более широком контексте – не только о том, как подписать электронной подписью приказ или договор, а также и обо всех внутренних сопроводительных документах, обеспечивающих процесс работы с конфиденциальной информацией – то есть, электронную подпись придется использовать практически в повседневном режиме всеми сотрудниками, имеющими касательство к подготовке, согласованию, учету и передаче документов, содержащих коммерческую тайну или другие сведения, доступ к которым должен контролироваться.
Для такого режима использования нужны максимально простые и удобные средства, как, например EDSIGN, программная надстройка для Microsoft WORD, которая позволяет создать электронную подпись и поставить ее на электронный документ, причем визуально на документе может отображаться графический образ обычной подписи и печати, что делает процедуры обработки и подписания ЭД с помощью EDSIGN очень похожими на работу с бумажными
EDSIGN реализует механизм множественных электронных подписей – в нашем случае это особенно важно, потому что позволяет идентифицировать не только того, кто заполнял поле графического изображения собственноручной подписи, но и любого человека, вносившего значения в другие поля, например, регистрировавшего документ, ставившего печать и т.п.
Но только электронной подписью безопасность обеспечить не получится, нужен целый комплекс мероприятий, и СЭД в этом играет ключевую роль.
Разрешительная система доступа: И
Для «разруливания» всех этих проблем в организации должна быть реализована разрешительная система доступа к информации, включая следующее:
· порядок предоставления доступа к ресурсам;
· порядок прекращения прав доступа;
· организацию контроля за соблюдением процедуры;
· регламент расследования инцидентов, связанных с предоставлением доступа.
Очевидно, что СЭД можно использовать для решения вышеперечисленных задач, потому что это все касается работы с документами, их согласования и утверждения, а также дальнейшего использования в качестве доказательной базы (если вдруг произойдет какой-то инцидент).
Если вернуться к упомянутому случаю в Удмуртнефть — в организации должен быть учет лиц, допущенных к работе с конфиденциальной информацией. Эти практики давно отработаны, известно какие документы и по какой форме должны составляться, так что дело за малым – предложить на основе СЭД типовое решение по реализации разрешительной системы, настраиваемое с учетом особенностей регулирования и юрисдикций.
Решение должно включать:
· Управление распорядительными документами, вводящими режим доступа;
· Управление должностными инструкциями;
· Автоматизированные процедуры оформления и согласования заявок на доступ к информационным ресурсам;
· Средства мониторинга;
· Средства обеспечения доказательной силы и юридической значимости документов.
(Примерно так видится на первый взгляд. Уточнять требования нужно уже с коллегами и службы ИБ.)
Перед прочтением сжечь :)
Самый большой риск на этом пути — чрезмерное увлечение мерами защиты. Ведь первое, что напрашивается это использование практик секретного делопроизводства для обеспечения защиты информации более низких категорий. При всей их отточенности и логичности есть одно «но» – довольно большие затраты времени и отвлечение ресурсов на выполнение всех формальных процедур по доступу к информации. Иначе говоря, получится так, что все будет надежно защищено, только работать станет невозможно:
Не любую информацию стоит охранять как гостайну. Все хорошо в меру.
© Издание 12NEWS (ИП Маринин А.Л.) 12news.ru, 2014
Опубликовано 30.05.14 17:37
Просмотров 236
Разместил
Просмотров 236
Разместил
