Доступ к конфиденциальной информации

Аудит и классификация данных
на базе системы

В российском законодательстве особое внимание уделяется вопросам хранения и доступа к информации. В первую очередь речь идет о работе сотрудников коммерческих и государственных организаций, у которых есть доступ к конфиденциальной информации – коммерческой и государственной тайне. Это создает риск утечки данных. Примеры, которые хорошо иллюстрируют проблему – промышленный шпионаж и воровство технологий, несанкционированный доступ к базам данных клиентов банков.

Для того чтобы обезопасить информацию, принимаются обязательные меры по ее защите. Они описываются в Федеральном законе «О коммерческой тайне». Среди них можно выделить контроль за порядком получения информации и установление ограничительных мер, а также строгий учет всех лиц, которым доступны такие сведения.

Для соблюдения этих мер используются разрешительные системы доступа персонала организаций к информации.

Что такое конфиденциальная информация

Конфиденциальные данные – это информация, доступ к которой имеет ограниченный круг лиц. При этом те, кто получает конфиденциальные сведения, не имеют права раскрывать их третьим лицам без предварительной договоренности и согласия контролирующих органов. 

Организации ограничивают доступ к определенной информации из-за того, что она напрямую связана с коммерческим интересом предприятия или имеет ценность сама по себе.

Разрешительные системы

Разрешительная система доступа к информации – это комплекс мер, направленных на борьбу с несанкционированным доступом к данным (НСД). В каждой организации системы устроены по-разному, но, исходя из требований закона, у них есть общие черты:

  1. Выдвигаются определенные требования к тому, какие лица могут получать сведения: стажу работы и возрасту, наличию офицерского звания, рангу сотрудника;
  2. Персонал, получивший доступ к информации в государственных организациях – МВД, ФСБ, Миграционной службе РФ, находится под надзором органов. В частных организациях эта обязанность возложена на службу безопасности и специальные структурные подразделения;
  3. Информация хранится, обрабатывается и передается исключительно в защищенном виде для того, чтобы препятствовать НСД.

Для понимания того, как функционирует разрешительная система, нужно подробнее рассмотреть, как реализовывается каждая функция, возлагаемая на нее.

Нормативно-правовая база

Каждая разрешительная система опирается на свод нормативно-правовых документов организации, в котором описываются правила работы с защищаемыми сведениями, а также требования к лицам, которые получают конфиденциальную информации. 

От того, насколько проработана правовая база системы, зависит то, как успешно она будет функционировать. В нормативно-правовых актах следует максимально детально отразить, как строится управленческая вертикаль организации (кто и каким образом выдает разрешение на доступ к конфиденциальной информации), описать требования к сотрудникам и указать перечень лиц, ответственных за управление конфиденциальной информацией.

Чем детальнее проработана нормативно-правовая база в организации, тем меньше риск утечки данных. Важно сделать так, чтобы каждое действие, связанное с защищенными данными, подвергалось контролю внутри организации.

В документах нужно перечислить сотрудников, которые могут санкционировать доступ к сведениям. При этом нужно разграничивать их полномочия. К примеру, директор имеет право предоставить разрешение на просмотр любых данных, в то время как руководитель отдела ограничен своей сферой деятельности.

Определение круга лиц, которые получают разрешение

Для защиты конфиденциальных сведений устанавливается строгий контроль за тем, кто входит в круг лиц, имеющих допуск к секретным сведениям. Сотрудникам организации выдвигаются требования, соразмерные с важностью сведений, к которым они имеют допуск. Обязательное требование – запрет на разглашение внутренней информации.

В зависимости от ценности защищаемых сведений, меняются требования. К примеру, доступ к наиболее ценной информации могут иметь только доверенные сотрудники или персонал конкретных структурных подразделений организации, которым эта информация нужна для служебных целей. В случае работы с государственной тайной работник часто не имеет права покидать пределы РФ. Запрет на выезд за границу – один из частных способов защитить ценные сведения от утечки.

Другие возможные требования к лицу, которое получает доступ к конфиденциальной информации:

  • возраст;
  • должность;
  • наличие офицерского звания (для государственной тайны);
  • стаж работы в организации.

Помимо этих требований, могут выдвигаться и другие. Все зависит от важности конфиденциальной информации и сферы работы организации.
Система контроля доступа также учитывает и ценность самих конфиденциальных данных. Так, к менее значимым конфиденциальным сведениям допуск могут получать даже рядовые сотрудники, в то время как к более ценным только те, которые занимают руководящие должности.

Конкретный сотрудник должен получать разрешение на изучение только тех документов, которые нужны ему для выполнения служебных обязанностей. При этом в документообороте надо обязательно указывать перечень документов и сведений, к которым человек получил доступ, а также время его получения.

Во многих организациях сотруднику предоставляют частичное право на просмотр документов. Бывает так, что для выполнения работы не нужна полная версия документа. Это дополнительная мера, способствующая увеличению безопасности.

Контроль за сотрудниками, имеющими доступ к информации

Каждый работник, который получил допуск к информации, должен быть ответственным за ее сохранность. В случае несанкционированного доступа, ответственность за возникшие проблемы несут также и те, кто выдавал допуск на изучение сведений.

Наблюдением за сотрудниками, получившими разрешение на изучение конфиденциальной информации, занимаются специалисты, указанные в правовых документах организации. В коммерческих компаниях этим обычно занимается служба безопасности или другое специально созданное структурное подразделение.

Более строгий контроль осуществляется в государственных организациях. Лица, которые получают сведения, не всегда имеют право покидать пределы России. Допуск к документам выдается в зависимости от уровня их секретности («Секретно», «Совершенно секретно», «Особой важности»), а также ранга сотрудника (чем выше должность, тем выше доверие к лицу).

Разрешительная система предполагает постоянный учет. Записывается время предоставления доступа к конфиденциальным сведениям, указывается перечень лиц, которые его получали. Кроме того, перечисляются конкретные положения документа, к которым пользователь получал допуск. Учет необходим для того, чтобы эффективней контролировать лиц, имеющих разрешение. Кроме того, он помогает расследовать случаи утечки сведений и находить виновных.

Хранение, обработка и передача информации

Должностные лица обязаны контролировать документооборот организации и следить, чтобы никто не получил к нему несанкционированный доступ. Для этого конфиденциальные сведения должны передаваться по защищенным каналам связи и храниться надежным образом.

Физические документы ранжируются по грифам и располагаются в охраняемом месте, в пределах которого могут находиться только доверенные лица. Выдача документов для просмотра происходит под наблюдением уполномоченных сотрудников.

Если данные хранятся на электронных носителях, то они должна быть зашифрованной. Самая важная и засекреченная информация должна храниться на устройствах без подключения к Интернету. Допускается ее передача по локальной сети организации, но только в зашифрованном виде. Эти меры позволяют защитить сведения от НСД.

Порядок доступа к конфиденциальной информации

При получении доступа к конфиденциальной информации сотрудник делает прямой запрос руководителю. В нем он должен указать причины, по которым ему понадобилась закрытая информация. Иногда запрос предварительно проверяют сотрудники более низкого ранга и служба безопасности.

Для получения разрешения сотрудник обязан изучить нормативно-правовую базу организации, касающуюся секретных сведений. Кроме того, он подписывает документ, по которому на него накладываются дополнительные обязательства, в том числе требование о неразглашении секретных данных.

Документ, который разрешает доступ к информации, – это допуск, в котором перечислены лица, получающие его, и перечень сведений, которые им выдаются. На нем обязательно должна быть подпись руководителя или официальная печать. Обязательному протоколированию подлежат дата и время получения информации.

Допуск могут выдавать и другие лица – заместители руководителя и иные должностные лица. Они выдают разрешения только в пределах своих полномочий.

Доступ к конфиденциальной информации – важный вопрос как для коммерческих, так и для государственных организаций. Чтобы защитить сведения, в организациях вводятся разрешительные системы доступа к информации, которые позволяют уберечь секретные данные он несанкционированного проникновения к ним и предотвратить их утечку из-за сотрудников.

09.12.2019

Закажите бесплатный 30-дневный триал
Полнофункциональное ПО без ограничений по
пользователям и функциональности
Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.