- •7. Порядок и методические указания по формированию перечня сведений, составляющих служебную или коммерческую тайну организации
- •Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в обобщенный Перечень.
- •Оформление результатов работы по формированию Перечня
- •Обеспечение сохранности документов
- •Обеспечение безопасного доступа
- •Разграничения прав пользователя
- •Конфиденциальность
- •Обеспечение подлинности документов
- •Законодательное регулирование
- •Допуск сотрудников предприятия к коммерческой тайне осуществляется с их согласия и предусматривает:
- •5.Проверки наличия конфиденциальных документов являются важной составной частью конфиденциального делопроизводства.
- •Проверками должны быть охвачены не только документы, но и дела, а также носители конфиденциальной информации.
- •При проведении проверок необходимо руководствоваться следующими принципами:
- •Подписывать акт и вносить отметки об уничтожении в учетные формы до фактического уничтожения конфиденциальных материалов не допускается.
Обеспечение сохранности документов
СЭД должна обеспечить сохранность документов от потери и порчи и иметь возможность их быстрого восстановления. Статистика неумолима, в 45% случаев потери важной информации приходятся на физические причины (отказ аппаратуры, стихийные бедствия и подобное), 35% обусловлены ошибками пользователей и менее 20% — действием вредоносных программ и злоумышленников. Опрос аналитической компании Deloitte Touche, проведенный в начале 2006 г., показал, что более половины всех компаний сталкивались с потерей данных в течение последних 12 месяцев. 33% таких потерь привели к серьезному финансовому ущербу. Представители половины компаний, переживших потерю данных, заявляют, что причиной инцидента стал саботаж или халатное отношение к правилам информационной политики компании, и только 20% респондентов сообщили, что интеллектуальная собственность их компаний защищена должным образом. Всего 4% опрошенных заявило, что их работодатели обращают должное внимание на информационную политику компании. Что касается СЭД, то в эффективности ее защиты уверено только 24% участников опроса.
Так, например, СЭД, в основе своей использующие базы данных Microsoft SQL Server или Oracle, предпочитают пользоваться средствами резервного копирования от разработчика СУБД (в данном случае Microsoft или Oracle). Иные же системы имеют собственные подсистемы резервного копирования, разработанные непосредственно производителем СЭД. Сюда следует также отнести возможность восстановление не только данных, но и самой системы в случае ее повреждения.
Обеспечение безопасного доступа
Этот момент обычно все понимают под безопасностью СЭД, чем часто ограничивают понятие безопасности систем. Безопасный доступ к данным внутри СЭД обеспечивается аутентификацией и разграничением прав пользователя.
Для упрощения будем называть процессы установления личности пользователя и процессы подтверждения легитимности пользователя на то или иное действие или информацию одним термином — аутентификацией, понимая под ним весь комплекс мероприятий, проводимых как на входе пользователя в систему, так и постоянно в течении его дальнейшей работы.
Здесь необходимо заострить внимание на методах аутентификации. Самый распространенный из них, конечно, парольный. Основные проблемы, которые сильно снижают надежность данного способа — это человеческий фактор. Даже если заставить пользователя использовать правильно сгенерированный пароль, в большинстве случаев его можно легко найти на бумажке в столе или под клавиатурой, а особо «талантливые» обычно прикрепляют ее прямо на монитор.
Самый старый из известных миру способов аутентификации — имущественный. В свое время полномочия владельца сундука подтверждались ключами, сегодня прогресс ушел далеко вперед, и полномочия пользователя подтверждаются специальным носителем информации. Существует множество решений для имущественной аутентификации пользователя: это всевозможные USB-ключи, смарт-карты, «таблетки» магнитные карты, в том числе используются и дискеты, и CD. Здесь также не исключен человеческий фактор, но злоумышленнику необходимо также заполучить сам ключ и узнать PIN-код.
Максимально надежный для проведения идентификации и последующей аутентификации способ — биометрический, при котором пользователь идентифицируется по своим биометрическим данным ( это может быть отпечаток пальца, сканирования сетчатки глаза, голос). Однако в этом случае стоимость решения выше, а современные биометрические технологии еще не настолько совершенны, чтобы избежать ложных срабатываний или отказов.
Еще один важный параметр аутентификации — количество учитываемых факторов. Процесс аутентификации может быть однофакторным, двухфакторным и т.д. Также возможно комбинирование различных методов: парольного, имущественного и биометрического. Так, например, аутентификация может проходить при помощи пароля и отпечатка пальца (двухфакторный способ).