ИНСТРУКЦИЯ
О ПОРЯДКЕ ОБРАЩЕНИЯ С ДОКУМЕНТИРОВАННОЙ СЛУЖЕБНОЙ
ИНФОРМАЦИЕЙ ОГРАНИЧЕННОГО РАСПРОСТРАНЕНИЯ В ОРГАНИЗАЦИЯХ,
УЧРЕЖДЕНИЯХ, ПРЕДПРИЯТИЯХ И Т.Д.
1. Общие положения
1.1. Настоящая Инструкция определяет общий порядок обращения с документами и другими материальными носителями <*> информации (далее — документами), содержащими служебную информацию ограниченного распространения в организациях, учреждениях, предприятиях и т.д. (далее — организациях).
———————————
<*> Требования настоящей Инструкции распространяются на порядок обращения с иными материальными носителями служебной информации ограниченного распространения (фото-, кино-, видео- и аудиопленки, машинные носители информации).
Инструкция не распространяется на порядок обращения с документами, содержащими сведения, составляющие государственную тайну.
Правила работы с секретными документами устанавливаются Инструкцией по обеспечению режима секретности в министерствах, ведомствах, на предприятиях, в учреждениях и организациях (утверждена Постановлением Совета Министров СССР от 12.05.87 N 556-126).
1.2. К документированной служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью.
Необходимость присвоения документам грифа «Для служебного пользования» (в дальнейшем «ДСП») определяется исполнителем и должностным лицом, подписывающим или утверждающим документ, в соответствии с «Перечнем видов служебной информации, которую необходимо относить к разряду ограниченного распространения» (утверждается руководителем организации).
Документированная служебная информация, содержащаяся в подготавливаемых организацией проектах указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, а также других служебных документах, не подлежит разглашению.
1.3. К документированной служебной информации ограниченного распространения не могут быть отнесены:
акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;
описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;
порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;
решения по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;
документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах, необходимые для реализации прав, свобод и обязанностей граждан.
1.4. Руководители структурных подразделений учреждений, организаций, предприятий и т.д., принявшие решение об отнесении документированной служебной информации к разряду ограниченного распространения, несут персональную ответственность за обоснованность принятого решения и соблюдение ограничений, предусмотренных п. 1.3 настоящей Инструкции, а также за обеспечение защиты носителей информации ограниченного распространения и использование средств оргтехники при подготовке этих документов.
1.5. Документированная служебная информация ограниченного распространения без санкции руководителя организации или его заместителей не подлежит разглашению (распространению).
1.6. За разглашение документированной служебной информации ограниченного распространения, а также нарушение порядка обращения с документами, содержащими такую информацию, сотрудник организации может быть привлечен к дисциплинарной или иной предусмотренной законодательством ответственности.
1.7. Контроль за осуществлением учета, размножения, хранения и использования документов, дел и изданий с грифом «Для служебного пользования» возлагается на канцелярии или другие подразделения, выполняющие такие функции (общие отделы, секретариаты и т.п.) <*>.
———————————
<*> В дальнейшем тексте делопроизводственные подразделения именуются службами документационного обеспечения.
1.8. Сотрудники организаций, имеющие отношение к работе с документами, делами и изданиями «Для служебного пользования», должны быть в обязательном порядке ознакомлены с инструкцией, устанавливающей порядок работы с документированной информацией ограниченного распространения в организации.
Сотрудникам (исполнителям), работающим с документами и изданиями «Для служебного пользования», запрещается сообщать устно или письменно кому бы то ни было сведения, содержащиеся в этих документах и изданиях, если это не вызывается служебной необходимостью.
1.9. При работе с документами «Для служебного пользования», кроме настоящей Инструкции, ведомственной инструкции, отражающей специфику работы организаций, составленной и разработанной на основе настоящей Инструкции, следует также руководствоваться ГОСТ Р 6.30-97 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов», регламентирующим требования к формам документов и правила их оформления.
2. Порядок приема и учета документов и изданий
2.1. Прием и учет (регистрация) документов и изданий «Для служебного пользования» осуществляется теми же структурными подразделениями организации, которым поручен учет несекретной документации.
2.2. Вся поступающая в организацию корреспонденция «Для служебного пользования» принимается и вскрывается сотрудниками, которым поручена работа с этими материалами. При этом проверяется количество листов и экземпляров документов и изданий, а также наличие указанных в сопроводительном письме приложений.
В случае отсутствия в конвертах (пакетах) документов «Для служебного пользования» или приложений к ним составляется акт в двух экземплярах, один из которых высылается отправителю.
Ошибочно поступившие документы и издания «Для служебного пользования» возвращаются отправителю.
2.3. В нерабочее время документы и издания «Для служебного пользования» принимаются дежурными по организации, которые, не вскрывая эту корреспонденцию, передают ее работникам службы документационного обеспечения.
Запрещается доставлять в нерабочее время материалы «Для служебного пользования» в организации, не имеющие постоянных дежурных.
2.4. Регистрации подлежат все входящие, исходящие и внутренние документы, а также издания «Для служебного пользования». Такие документы учитываются по количеству листов, а издания (книги, журналы, брошюры) — по экземплярам.
Документы с грифом «ДСП» учитываются отдельно от несекретной документации. При незначительном объеме таких документов разрешается вести их учет совместно с другими несекретными документами. При этом в карточке (журнале) к регистрационному номеру документа проставляется отметка «ДСП».
Требование однократности регистрации распространяется и на документы и издания «Для служебного пользования».
Учет документов и изданий «Для служебного пользования» ведется на карточках (приложение 1) или в журналах (приложение 2). Допускается регистрировать документы с грифом «ДСП» с помощью устройств электронно-вычислительной техники.
Движение документов и изданий «Для служебного пользования» должно своевременно отражаться в журналах или на карточках.
2.5. На каждом зарегистрированном документе, а также на сопроводительном письме к изданиям «Для служебного пользования» проставляется штамп, в котором указываются наименование организации, регистрационный номер документа и дата его поступления.
2.6. Тираж издания «Для служебного пользования», полученный для рассылки, регистрируется под одним входящим номером в «Журнале учета и распределения изданий» (приложение 3).
Дополнительно размноженные экземпляры документа (издания) учитываются за номером этого документа (издания), о чем делается отметка на размножаемом документе (издании) и в учетных формах. Нумерация дополнительно размноженных экземпляров производится от последнего номера ранее учтенных экземпляров.
3. Размножение и рассылка (отправка) документов и изданий
3.1. Документы с грифом «ДСП»:
печатаются специалистом службы документационного обеспечения организации (управление делами, общий отдел, канцелярия и т.п.), ответственным за подготовку документов с грифом «ДСП», допускается использование персональной компьютерной техники, при этом работа выполняется только с использованием сменных магнитных носителей (дискет). Указанные дискеты хранятся у специалиста, ответственного за работу с документами с грифом «ДСП»;
печатаются с указанием на лицевой или оборотной стороне в левом нижнем углу последнего листа каждого экземпляра документа количества отпечатанных экземпляров, фамилии исполнителя и номера его служебного телефона. Указываются также наименование файла, дата печатания, инициалы имени и фамилии специалиста, печатавшего документ. Подписанные документы (вместе с черновиками) передаются для регистрации специалисту службы документационного обеспечения организации, осуществляющему их учет;
передаются специалистам структурных подразделений организации под расписку. Передача документов с грифом «ДСП» и дел, содержащих такие документы от одного специалиста другому, осуществляется только с разрешения руководителя структурного подразделения организации;
пересылаются сторонним организациям фельдъегерской службой, спецсвязью или заказными или ценными почтовыми отправлениями;
не могут передаваться по незащищенным каналам компьютерно-модемной, факсимильной и телеграфной связи, а также по электронной почте;
3.2. Отпечатанные и подписанные документы «Для служебного пользования» вместе с их черновиками и вариантами передаются для регистрации специалисту, осуществляющему их учет. Черновики и варианты уничтожаются этим сотрудником с подтверждением факта уничтожения записью на копии исходящего документа: «Черновик (и варианты) уничтожены. Дата. Подпись».
3.3. На исходящих документах (в необходимых случаях и на их проектах), содержащих документированную служебную информацию ограниченного распространения, гриф «ДСП» и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на первой странице сопроводительного письма к таким документам.
При необходимости направления документов с грифом «ДСП» нескольким адресатам составляется указатель рассылки, в котором проставляются номера экземпляров отправляемых документов всем адресатам.
Указатель рассылки подписывается исполнителем, руководителем структурного подразделения организации, готовившего документ (предварительно согласованный с соответствующим заместителем руководителя организации).
3.4. Размножение документов и изданий с грифом «Для служебного пользования» осуществляется только с письменного разрешения руководства организации и под контролем службы документационного обеспечения организации. Учет размноженных документов осуществляется по экземплярам.
Документы и издания «Для служебного пользования», полученные от сторонних организаций, могут быть размножены только с их согласия.
3.5. Отправляемые документы, дела и издания «Для служебного пользования» должны быть помещены в конверты либо упакованы. Запрещается использовать конверты с прозрачными «окошками» для пересылки этих документов.
3.6. На упаковке (конверте) указываются адреса и наименования получателя и отправителя, номера вложенных документов с добавлением отметки «ДСП», например:
|
ПОЛУЧАТЕЛЬ: |
121010, Москва, К-10, Организация п/я У-087, N 378/ДСП, N 456/ДСП. |
|
ОТПРАВИТЕЛЬ: |
252898, г. Воронеж, ул. Кирова, д. 2. |
Запрещается указывать фамилии и должности руководителей и сотрудников, а также наименования структурных подразделений организации на упаковке документов и изданий «Для служебного пользования».
4. Группировка исполненных документов в дела
4.1. Документы с грифом «Для служебного пользования» после исполнения группируются в дела. Порядок их группировки предусматривается номенклатурами дел несекретного делопроизводства.
В номенклатуру дел в обязательном порядке включаются все справочные картотеки и журналы на документы и издания с грифом «Для служебного пользования».
4.2. Документы с грифом «Для служебного пользования» в зависимости от производственной необходимости допускается группировать в дела отдельно или вместе с другими несекретными документами по одному и тому же вопросу.
В случаях, когда в организации образуется большое количество одних и тех же видов документов и дел (приказы, инструкции, сводки и т.д.) с грифом «Для служебного пользования» и без этого грифа, целесообразно предусматривать их обособленное формирование в дела. При этом в графе номенклатуры «Индекс дела» к номеру дела с документами «Для служебного пользования» добавляется отметка «ДСП», например:
|
Индексы дел |
Заголовки дел |
|
1-1 |
Приказы по основной деятельности |
|
1-1/ДСП |
То же. |
При включении документа с грифом «Для служебного пользования» в дело с несекретными документами, не имеющими аналогичного грифа, данное дело получает гриф «Для служебного пользования» и соответствующее уточнение вносится в номенклатуру дел текущего года.
В организациях, в деятельности которых образуется небольшое количество документов «Для служебного пользования», номенклатурой дел может быть предусмотрено заведение одного дела, которое именуется «Документы «Для служебного пользования». Срок хранения такого дела не устанавливается, а в соответствующей графе номенклатуры дел проставляется отметка «ЭК» (экспертная комиссия).
4.3. По окончании делопроизводственного года дело «Документы «Для служебного пользования» просматривается экспертной комиссией полистно и, в случае необходимости, принимается решение о перегруппировке документов. Содержащиеся в деле документы постоянного срока хранения группируются в отдельное дело (дела), которое получает самостоятельный заголовок и дополнительно включается в номенклатуру дел.
Если в дело «Документы «Для служебного пользования» включены документы только временных сроков хранения, оно может не переформировываться. Срок хранения такого дела устанавливается по максимальному сроку хранения содержащихся в нем документов. Отметка «ЭК» в графе номенклатуры дел «Срок хранения» зачеркивается и заменяется уточненным сроком хранения.
4.4. Дела с документами «Для служебного пользования» постоянного и долговременного (свыше 10 лет) срока хранения должны иметь внутренние описи.
5. Использование документов, дел и изданий. Снятие с дел
грифа «Для служебного пользования»
5.1. К работе с делами «Для служебного пользования» допускаются имеющие к ним непосредственное отношение должностные лица, а к документам — согласно указаниям, содержащимся в резолюциях руководителей организаций (структурных подразделений).
Категории работников, допускаемых к работе с изданиями «Для служебного пользования» (отчеты по научно-исследовательским, конструкторским или проектно-изыскательским работам и т.д.) определяются руководителями организаций (структурных подразделений).
5.2. Запрещается пользоваться сведениями из документов и изданий «Для служебного пользования» для открытых выступлений или опубликования в открытой печати, передачах по радио и телевидению, экспонировать такие документы и издания на выставках, демонстрировать их на стендах и т.д.
5.3. Представители других организаций допускаются к ознакомлению и работе с документами и изданиями «Для служебного пользования» с разрешения руководителей организаций (структурных подразделений), в ведении которых находятся эти материалы, при наличии письменного запроса тех организаций, в которых они работают, с указанием темы выполняемого задания.
5.4. Дела и издания «Для служебного пользования» выдаются исполнителям и принимаются от них под расписку в «Карточке учета выдаваемых дел и изданий» (приложение 4).
5.5. Снятие рукописных, машинописных, ксерокопий, а также производство выписок из документов и изданий «Для служебного пользования» сотрудниками данной организации производится с разрешения руководителя этой организации (структурного подразделения).
Снятие копий для сторонних организаций с документов и изданий «Для служебного пользования» производится на основании письменных запросов с разрешения руководителя организации (структурного подразделения), подготовившей эти документы или изданий.
5.6. Дела постоянного и временного сроков хранения с грифом «Для служебного пользования» периодически просматриваются с целью возможного снятия этого грифа.
Просмотр осуществляется при передаче дел из структурных подразделений в архив организации, в процессе хранения дел в ведомственном архиве, а также при подготовке дел постоянного срока хранения к передаче в государственный архив.
Решение вопроса о снятии грифа «Для служебного пользования» возлагается на создаваемую в установленном порядке специальную комиссию, в состав которой включаются представители службы документационного обеспечения организации, режимно-секретного органа (спецчасти) и руководители структурных подразделений организации.
Решение комиссии оформляется составляемым в произвольной форме актом, который утверждается руководителем организации. В акте перечисляются дела, с которых гриф «Для служебного пользования» снимается.
Один экземпляр акта вместе с делами передается в архив организации, а на дела постоянного срока хранения — в государственный архив.
5.7. На обложках дел гриф «Для служебного пользования» погашается штампом или записью от руки с указанием даты и номера акта, послужившего основанием для его снятия.
5.8. При снятии грифа «ДСП» на документах, изданиях, а также в учетных формах делаются соответствующие отметки и информируются все адресаты, которым эти документы (издания) направлялись.
6. Отбор документов, дел и изданий для хранения
и к уничтожению
6.1. Проведение экспертизы научной и практической ценности документов и дел «Для служебного пользования» рассмотрение и утверждение ее результатов производится в соответствии с требованиями и порядком, установленными для несекретных материалов (Основные правила работы ведомственных архивов, раздел 3).
6.2. Дела из структурных подразделений в архив организации передаются в обработанном виде. При этом дела, содержащие документы «Для служебного пользования», вносятся в опись (приложение 5) наряду с другими делами, содержащими несекретные документы.
6.3. Дела «Для служебного пользования» постоянного хранения передаются в государственный архив в установленном порядке с обязательной полистной проверкой включенных в них документов (Основные правила работы ведомственных архивов, раздел 13).
6.4. Отобранные к уничтожению дела «Для служебного пользования», не имеющие исторической ценности и утратившие практическое значение, могут оформляться отдельным актом или включаться в общий акт вместе с другими отобранными к уничтожению несекретными делами. При этом в графе «Заголовки дел» после номеров этих дел проставляется отметка «ДСП» (приложение 6). В учетных формах об этом делается соответствующая отметка со ссылкой на соответствующий акт.
7. Обеспечение сохранности документов, дел и изданий.
Проверка их наличия
7.1. Документы, дела и издания «Для служебного пользования» должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (хранилищах). При этом должны быть созданы надлежащие условия, обеспечивающие их физическую сохранность (Основные правила работы ведомственных архивов, раздел 5).
7.2. Выданные для работы дела «Для служебного пользования» подлежат возврату в службу документационного обеспечения или архив в тот же день.
Отдельные дела «Для служебного пользования» с разрешения руководителя службы документационного обеспечения могут находиться у исполнителя в течение срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.
7.3. Передача документов, дел и изданий «Для служебного пользования» другим сотрудникам, производится только через службу документационного обеспечения организации.
7.4. Запрещается изъятие из дел или перемещение документов с грифом «Для служебного пользования» из одного дела в другое без санкции службы документационного обеспечения или лица, осуществляющего их учет. Обо всех проведенных изъятиях или перемещениях делаются отметки в учетных документах, включая внутренние описи.
Запрещается выносить документы, дела и издания «Для служебного пользования» из служебных помещений для работы с ними на дому.
7.5. При смене в организации специалиста, ответственного за учет документов с грифом «ДСП» составляется акт приема-сдачи этих документов, который утверждается начальником службы документационного обеспечения организации.
7.6. Проверка наличия документов, изданий и дел, содержащих документы с грифом «ДСП» в организации, проводится не реже одного раза в год комиссиями, назначаемыми приказом руководителя организации. В состав комиссий включается специалист, ответственный за учет и хранение этих документов.
В архиве организации проверка наличия документов с грифом «ДСП» в делах проводится не реже одного раза в пять лет.
Результаты проверок оформляются актом.
7.7. О фактах утраты документов, изданий с грифом «ДСП» и дел, содержащих эти документы, а также разглашения информации, содержащейся в этих документах, ставится в известность соответствующий (по подчиненности) заместитель руководителя организации и назначается комиссия для расследования обстоятельств утраты или разглашения. Результаты расследования докладываются заместителю руководителя организации, назначившему комиссию.
На утраченные документы, издания и дела, содержащие документы с грифом «ДСП» составляется акт, на основании которого делаются соответствующие отметки в учетных формах.
Приложение 1
к п. 2.4
КАРТОЧКА
регистрации документов и изданий с грифом
«Для служебного пользования»
|
Контроль |
Гриф |
|
Корреспондент |
Адресат |
|
Дата поступления и входящий номер |
Дата и исходящий номер документа |
|
Вид документа |
Краткое содержание |
|
Количество экземпляров и их номера |
Количество листов документа |
|
Резолюция или кому направлен документ |
|
|
Отметка об исполнении документа |
Номер дела (по номенклатуре) |
|
(Лицевая сторона) |
|
Расписка в получении |
Отметка о возврате |
|
|
Проверка исполнения |
||
|
Прочие отметки |
||
|
Фонд N |
Опись N |
Дело N |
|
(Оборотная сторона) |
Формат A5 (148 x 210) или A6 (105 x 148)
Приложение 2
к п. 2.4
ЖУРНАЛ
учета документов и изданий с грифом «Для служебного
пользования» <*>
|
Дата поступления и индекс документа |
Дата и исходящий номер документа |
Откуда поступил или куда направлен |
Вид документа и краткое содержание |
Количество листов |
Количество и номера экземпляров |
|
|
документа |
приложения |
|||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
Окончание
|
Резолюция или кому направлен на исполнение |
Отметка о взятии на контроль и срок исполнения |
Дата и расписка |
Индекс (номер) дела, куда подшит документ |
Отметка об уничтожении |
|
|
о получении |
о возврате |
———————————
<*> Допускается раздельное ведение журналов на входящие и исходящие документы и издания с грифом «Для служебного пользования».
Приложение 3
к п. 2.6
ЖУРНАЛ
учета и распределения изданий «Для служебного пользования»
|
N п/п |
Наименование издания |
Издано или поступило |
Распределение |
Возврат |
Уничтожение |
||||
|
откуда поступило и где отпечатано |
входящий номер сопроводительного письма |
количество экземпляров и N экз. |
куда и кому направлено (или выдано) |
N исходящего документа (или расписка в получении) и дата |
количество экземпляров и N экз. |
дата, N экз. |
дата, N акта |
||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
Приложение 4
к п. 5.4
КАРТОЧКА УЧЕТА
выдаваемых дел и изданий с грифом
«Для служебного пользования»
|
Наименование дела или издания |
|||||
|
N п/п |
Номер дела, N экземпляров, изданий и количество листов |
Подразделение и фамилия сотрудника |
Расписка |
Примечание |
|
|
в получении дата |
о возврате и дата |
||||
|
1 |
2 |
3 |
4 |
5 |
6 |
Приложение 5
к п. 6.2
ОПИСЬ
документальных материалов _____________________________ хранения
(постоянного, временного)
________________________________________________________________
________________________________________________________________
(отдела, управления)
за ___ год
|
N п/п |
Индексы дел |
Заголовки единиц хранения (дел) |
Крайние даты |
Кол-во листов |
Срок хранения, N статьи перечня |
Примечание |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
Всего сдано ________________________ дел.
(цифрами и прописью)
Начальник отдела подпись расшифровка
подписи
Сдал: наименование
должности лица,
составившего опись подпись расшифровка
подписи
Принял: заведующий архивом подпись расшифровка
подписи
Формат A4 (210 x 297 мм)
Приложение 6
к п. 6.4
Наименование ведомства УТВЕРЖДАЮ
Наименование организации ____________________________________
(наименование должности руководителя
организации, его инициалы и фамилия)
Подпись
Дата
АКТ
Дата _________ Индекс _________
_______________________________
(место составления)
о выделении к уничтожению документов и дел
Основание: приказ от ____________ N _____
дата
Составлен: экспертной комиссией
Председатель комиссии: ____________________________________________________
(должность, инициалы, фамилия)
Члены комиссии: ___________________________________________________________
(должность, инициалы, фамилии)
Присутствовали: ___________________________________________________________
(должность, инициалы, фамилии)
Комиссия, руководствуясь перечнем _________________________________________
(название перечня)
отобрала к уничтожению, как не имеющие научно-исторической ценности
и утратившие практическое значение, следующие дела и документы:
___________________________________________________________________________
(наименование организации, в деятельности которой отложились документы,
не подлежащие дальнейшему хранению)
|
N п/п |
Годы документов |
Заголовки дел и документов (групповые или индивидуальные), индексы дел по номенклатуре, описей |
Пояснения |
Количество дел (томов) |
Номера статей по перечню |
|
1 |
2 |
3 |
4 |
5 |
6 |
ВСЕГО дел _________________________________________________________________
(цифрами и прописью)
Председатель экспертной комиссии __________________________________________
(инициалы, фамилия)
Подпись
Члены: Подписи __________________________________
Документы измельчены ______________________________________________________
(дата)
Председатель экспертной комиссии __________________________________________
(фамилия, инициалы)
Подпись
Дата
Формат A4 (210 x 297)
Данный архив содержит шаблоны документов по защите информации в целом и по защите персональных данных в частности.
1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:
- Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
- Инструкция администратора безопасности
- Инструкция ответственного за организацию обработки персональных данных
- Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
- Инструкция по реагированию на инциденты информационной безопасности
- Инструкция пользователя государственной информационной системы
- Приказ об утверждении внутренних нормативных актов по защите информации
- Политика информационной безопасности в составе:
- — Общие положения
- — Технологические процессы обработки защищаемой информации в информационных системах
- — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
- — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
- — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
- — Правила и процедуры выявления, анализа и устранения уязвимостей
- — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
- — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
- — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
- — Форма задания на внесение изменений в списки пользователей информационной системы
- — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
- — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
- — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
- — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
- — Форма списка разрешенного программного обеспечения в информационной системе
- — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
- — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
- — Порядок резервирования информационных ресурсов
- — План обеспечения непрерывности функционирования информационной системы
- Приказ об организации контролируемой зоны
- Положение о контролируемой зоне
- План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
- Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
- Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
- Форма журнала учета приема/выдачи съемных машинных носителей информации
- Форма журнала учета средств защиты информации
- Форма журнала учета периодического тестирования средств защиты информации
- Форма журнала проведения инструктажей по информационной безопасности
- Форма журнала учета мероприятий по контролю обеспечения защиты информации
2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:
- Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
- Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
- Приказ о классификации государственной информационной системы
- Форма акта классификации государственной информационной системы
- Приказ о вводе в эксплуатация государственной информационной системы
3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:
- Положение о защите и обработке персональных данных в составе:
- — Общие положения
- — Основные понятия и состав персональных данных
- — Общие принципы обработки персональных данных
- — Порядок сбора и хранения персональных данных
- — Процедура получения персональных данных
- — Передача персональных данных третьим лицам
- — Трансграничная передача персональных данных
- — Порядок уничтожения и блокирования персональных данных
- — Защита персональных данных
- — Согласие на обработку персональных данных
- — Организация доступа работников к персональным данным субъектов
- — Организация доступа субъекту персональных данных к его персональным данным
- — Права и обязанности оператора персональных данных
- — Права и обязанности работников, допущенных к обработке персональных данных
- — Права субъекта персональных данных
- — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
- Правила рассмотрения запросов субъектов персональных данных или их представителей
- Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
- Форма перечня лиц, допущенных к обработке персональных данных
- Политика в отношении обработки персональных данных
- Приказ об определении уровня защищенности персональных данных
- Форма акта определения уровня защищенности персональных данных
- Правила обработки персональных данных без использования средств автоматизации
- Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
- Форма акта уничтожения персональных данных
- Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
- Форма согласия субъекта на обработку его персональных данных
- Положение о системе видеонаблюдения
- Форма соглашения о неразглашении персональных данных
- Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав
4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств
- Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
- Форма перечень сотрудников, допущенных к работе с СКЗИ
- Инструкция по обеспечению безопасности эксплуатации СКЗИ
- Форма акта об уничтожении криптографических ключей и ключевых документов
- Схема организации криптографической защиты информации
5. Модель угроз безопасности информации
Защите важной информации, не подлежащей разглашению, приходится уделять большое внимание как частным лицам, так и многим фирмам. Утечка секретных сведений оборачивается потерей клиентов и снижением доходов. Злоумышленники могут овладеть ценной информацией, нанести урон репутации граждан, получить доступ к банковским счетам, частным и государственным секретным документам. Для защиты конфиденциальной информации, предотвращения ее использования в незаконных или преступных целях используют технические средства.
Информационная безопасность и ее особенности
Конфиденциальной информацией считаются персональные данные граждан, секреты коммерческой деятельности фирм, служебные и государственные тайны, материалы судопроизводства.
Охрана конфиденциальной информации подразумевает проведение мероприятий по физической и технической защите секретных материалов. Безопасность достигается путем ограничения доступа к секретным данным, сохранения их достоверности и целостности в процессе работы с уязвимой информацией.
Существует несколько возможных каналов утечки ценной информации. Прямые каналы утечки информации – это непосредственное копирование важных документов или нарушение коммерческой тайны.
К косвенным относят:
- потерю или кражу устройств – носителей информации;
- неправильную утилизацию данных, подлежащих уничтожению;
- дистанционное прослушивание или фотографирование документов с секретной информацией;
- радиоперехват сообщений.
Виновниками разглашения персональной информации зачастую становятся социальные сети. Нередко в Интернет попадают материалы с информацией о личной жизни, семейных тайнах граждан. Мошенники могут получить доступ к электронным кошелькам. Чтобы защищиться, приходится использовать сложные пароли и принимать другие меры безопасности.
Существуют различные приемы похищения информации: акустические (подслушивание), оптические (видеосъемка). Для перехвата данных могут быть использованы электромагнитные, электронные и другие устройства.
Для компаний, нуждающихся в защите ценной информации, разработаны специальные системы защиты информации класса DLP (Data Loss Prevention). С их помощью можно узнать, кто работал с секретной информацией и куда ее передал. Оценивается степень защищенности информации и риск утечки.
Как обеспечивается безопасность
Для сохранения конфиденциальных сведений от разглашения используются следующие приемы:
1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией.
2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии.
3. Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией.
4. Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств.
Руководители компаний, владеющих секретной информацией, должны иметь перечень сведений, не подлежащих разглашению, а также поименный список лиц, имеющих допуск к таким материалам. При приеме на работу новых сотрудников предупреждают о недопустимости разглашения служебной информации и о грозящей ответственности.
Если дело не касается государственных тайн, руководители предприятий сами устанавливают степень конфиденциальности информации, а также выбирают методики и средства ее защиты. При этом руководство берет на себя ответственность за неправильное обращение с ценной информацией и определяет возможные последствия. Все мероприятия по информационной защите осуществляются в соответствии с федеральным законом и указами президента Российской Федерации.
Элементы информационной безопасности
Для эффективной защиты информации проводится комплекс правовых, организационных, программно-аппаратных, инженерно-технических и криптографических мероприятий.
Правовые действия
Контролируется соблюдение юридических норм информационной безопасности, устанавливаются правовые отношения между фирмой, владеющей ценной информацией, и государством. С помощью служебных проверок выявляются факты разглашения информации персоналом.
Проверяется наличие документов, касающихся заключения трудовых соглашений, контрактов, инструкций по работе с секретной информацией.
Проводится работа с персоналом по поводу ответственности за несанкционированное уничтожение документов с важной информацией, передачу ложных сведений, разглашение служебных тайн.
Новым сотрудникам разъясняют особенности информационной безопасности и требования конфиденциальности. При подписании контракта берется письменное согласие на соблюдение ограничений и правил обращения со служебной информацией.
Организационные меры
Включают действия, направленные на обеспечение безопасного режима работы фирмы, пользующейся секретной информацией:
- Создание службы безопасности. Назначение конкретного лица, ответственного за выдачу материалов сотрудникам, пользующимся конфиденциальной информацией. Обеспечение охранных служб необходимыми программами защиты информации;
- Составление списка особо важных бумажных и электронных документов, а также перечня материалов с ценной информацией;
- Введение разрешительной системы допуска сотрудников к материалам разной степени секретности, осуществление контрольных проверок обращения с засекреченной информацией;
- Разработка методик отбора персонала для работы с секретами, знакомство работников с инструкциями по использованию и защите секретной информации;
- Предупреждение возможности случайного или умышленного нарушения сотрудниками установленного порядка работы с конфиденциальной информацией;
- Разработка системы защиты важных сведений во время проведения совещаний, мероприятий по обмену информацией с представителями другой организации, встреч со СМИ и т. д.;
- Проверка помещений, предназначенных для работы, требующей обмена секретной информацией, проведение лицензирования средств, обеспечивающих конфиденциальность, сертификация средств обработки конфиденциальных данных;
- Введение пропускного режима, внедрение методик идентификации сотрудников и посетителей. Обеспечение охраны территории, оборудования и персонала, владеющего ценной информацией;
- Создание инструкций по защите секретных материалов при возникновении экстремальных ситуаций;
- Организация эффективной защиты компьютеров, локальных сетей, а также управление всей системой информационной безопасности и оценка эффективности принятых мер.
Инженерно-технические мероприятия
Охрана конфиденциальной информации осуществляется с помощью дорогостоящих технических средств и специальной аппаратуры. Это позволяет предотвратить незаконное похищение и рассекречивание сведений злоумышленниками. Организации, владеющие важной информацией, оснащаются приборами слежения и прослушивания.
К инженерно-техническим мерам безопасности относятся:
- Установка ограждений, решеток, стальных дверей с кодовыми замками, а также использование идентификационных карт, оборудование сейфов;
- Устройство сигнализации (в том числе противопожарной). Установка электронных средств оповещения о проникновении на объект посторонних лиц и попытке завладения секретной информацией;
- Применение аппаратуры для обнаружения подслушивающих устройств, скрытых видеокамер и других разведывательных приспособлений;
- Установка приспособлений, обеспечивающих защиту важных документов и материалов при попытке их выноса за территорию предприятия;
- Использование программно-аппаратных способов защиты информации, хранящейся в компьютерах и других электронных устройствах. При этом используются программы идентификации, аутентификации, аудита и специальные методики передачи информации (туннелирование, шифрование). Программы позволяют входить в информационную систему только тем сотрудникам, которые владеют специальными кодами и паролями. Проводится биометрическая идентификация. Фиксируется время входа в систему и пользования секретной информацией. В случае обнаружения несанкционированного проникновения в информационную систему программа автоматически перекрывает доступ к материалам.
Криптографические приемы
Производится разработка секретных кодов и паролей доступа в информационную систему предприятий, имеющих дело с особо ценной информацией. При передаче сведений используется специальный криптографический ключ. Он представляет собой последовательность символов, которые используются для шифрования и расшифровки цифровых подписей, тайных сообщений и кодов.
Для сохранения в тайне конфиденциальной информации, передаваемой открытым способом (по почте, факсу, незащищенным интернет-каналам) вырабатываются условия взаимного доверия.
Пример
Лицо А по интернет-переписке общается с лицом Б. При этом Б должен быть уверен, что сообщения с интересующей его информацией приходят именно от А. Они договариваются о секретном пароле – слове, которое должно содержаться в тексте сообщения. Посторонний человек не знает о договоренности, поэтому его сообщениям Б не доверяет.
При обмене служебной информацией пароль для входа в информационную систему передается с помощью специальных криптографических методов и программ. Такая методика может быть использована также при сообщении сведений по телефону или радио.
К криптографическим мерам обеспечения информационной безопасности относятся также:
- Создание идентификационных магнитных карт или устройств биометрической идентификации сотрудников, имеющих разрешение на знакомство с секретной информацией;
- Разработка методик подтверждения подлинности идентификационных данных (аутентификации) посредством использования пин-кодов, смарт-карт, личных цифровых подписей;
- Внедрение методов экранирования сообщений. Из всего объема засекреченной информации работникам предоставляется доступ только к определенным сведениям, а остальные «экранируются»;
- Разработка системы ограничения посещаемости помещений, в которых находятся документы с секретной информацией. Устанавливаются кодовые замки, используются личные магнитные карты.
Выбор методик
Объем мер, предпринимаемых для сохранности конфиденциальной информации, зависит от особенностей работы организации, размеров бизнеса, степени важности и секретности сведений, которыми она владеет.
В небольшой фирме для предотвращения утечки конфиденциальных сведений достаточно установить порядок их обработки и хранения, а также ограничить доступ персонала к охраняемой информации. Необходимо правильно организовать работу с персоналом, проводить инструктаж по обращению с важной информацией. Важно анализировать и контролировать организационные действия, направленные на предотвращение утечки конфиденциальных сведений.
В крупных организациях используется комплексная многоуровневая система засекречивания материалов. Используемые методы и средства периодически обновляют, чтобы их не смогли распознать злоумышленники.
В список сотрудников, имеющих доступ к засекреченным материалам, не включаются лица-разработчики системы безопасности и соответствующих компьютерных программ.
Для передачи секретной коммерческой информации через Интернет используются защищенные каналы связи. Данные передаются в зашифрованном или замаскированном виде.
Порядок обеспечения информационной безопасности
При осуществлении защиты засекреченной информации соблюдается следующий порядок действий:
- Составляется перечень коммерческих тайн и сведений, не подлежащих разглашению. При этом учитывается необходимость проведения охранных мероприятий в смежной организации, имеющей доступ к подобным сведениям;
- Разрабатываются способы хранения информации (использование электронных носителей, бумажных документов, технических средств обработки). Выделяются помещения и оборудование для хранения документов с ценной информацией, составляется список ответственных лиц;
- Проверяется эффективность принятых мер.
***
Повышение информационной безопасности требует проведения комплексных мероприятий с использованием сложных технических устройств. Необходимо правильно оценивать степень риска утечки информации и принимать адекватные меры, чтобы не допустить похищения сведений, которые могут быть использованы в незаконных и преступных целях. Важно постоянно анализировать эффективность информационной защиты и совершенствовать методику ее проведения.
27.03.2020