А. Артемов - Информационная безопасность. Курс лекций

Документооборот– движение документов в организации с момента их создания или получения до завершения исполнения или отправки. По отношению к организационной структуре выделяется внутренний и внешний документооборот как составной элемент «жизненного цикла» документа.

Документооборот (документопоток) защищенный– контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации. Принципы и направления движения конфиденциальных традиционных и электронных документов в аппарате фирмы едины при любой технологической системе обработки и хранения документов. Меняются методы работы с документами, но технологическая взаимосвязь документооборота с процессом управления сохраняется. Документооборот, как объект защиты, представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации (документов)» процессе управленческой и производственной деятельности пользователей (потребителей) этой информации. В результате увеличивается число источников, обладающих ценными сведениями и расширяются потенциальные возможности для утраты конфиденциальной информации. Защищенность документопотоков достигается за счет: формирования самостоятельных, изолированных потоков конфиденциальных документов и часто – дополнительного их разбиения на подпотоки в соответствии со степенью конфиденциальности перемещаемых документов; использования автономной технологической системы обработки и хранения конфиденциальных документов; регламентации избирательности в доставке информации разрешительной (разграничительной) системой доступа персонала к конфиденциальной информации, документам и базам данных; расчленения (дробления) информации между исполнителями в соответствии с их функциональными обязанностями (см. также Структура потоков (документопотоков) конфиденциальных документов).

Документопоток– движение документов в определенном направлении для облегчения решения управленческих задач. Могут быть: входящий (входной), исходящий (выходной) и внутренний документопотоки. Является обязательной частью любой информационной системы. Документопоток делится на технологические стадии обработки документов в процессе их движения.

Допуск к конфиденциальной информации– чисть разрешительной (разграничительной) системы доступа персонала к конфиденциальной информации, представляет собой процедуру оформления права сотрудника фирмы или иного лица на доступ к информации ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника или владельца информации на передачу ее для работы конкретному лицу. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, цел и баз данных. Оформление допуска всегда носит добровольный характер и отражается в приказе первого руководителя фирмы или соответствующим пунктом в контракте.

Доступ к информации несанкционированный– случайное или преднамеренное овладение конфиденциальными сведениями и возможное опасное воздействие на них лиц, не имеющих права доступа к конкретной защищаемой информации. Доступ, не санкционированный полномочным должностным лицом, считается незаконным. Случайный несанкционированный доступ к конфиденциальной информации возникает в силу обстоятельств или в результате безответственности персонала, работающего с документами, информационными ресурсами ограниченного доступа. Лицо, случайно получившее знание конфиденциальных сведений, обычно не заинтересовано в их запоминании и использовании. Преднамеренный несанкционированный доступ к конфиденциальной информации осуществляет злоумышленник, который целенаправленно организует канал несанкционированного доступа к интересующей его информации. Злоумышленник, получивший информацию, имеет возможность совершить с. ней противоправные действия, использовать в своих целях, нарушить целостность информации или ее сохранность, уничтожить носитель. Владелец информационных ресурсов обязан оповещать собственника этих ресурсов о всех фактах нарушения режима конфиденциальности информации.

Доступ к информации санкционированный– часть разрешительной (разграничительной) системы доступа персонала к конфиденциальной информации, представляет собой практическую реализацию права сотрудника на работу с подобной информацией, необходимой ему для выполнения возложенных на него функций. Доступ санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника фирмы. Разрешение на доступ к конфиденциальным сведения (документам, делам, базам данных и т. п.) всегда является строго персонифицированным (индивидуальным) и дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников может их знать». Должностное лицо, разрешившее доступ сотрудника к конфиденциальным сведениям, несет персональную ответственность за правильность принятого решения. Аналогичным образом персональную ответственность за сохранность носителя и конфиденциальность информации несет сотрудник, получивший доступ к конкретной информации.

Доступ к компьютеру —санкционирование полномочным должностным лицом работы сотрудника с определенным составом вычислительной техники. Предусматривает: регламентацию состава сотрудников, имеющих право входа в помещение, в котором находится соответствующая вычислительная техника, средства связи; регламентацию временного режима нахождения этих. лиц в указанных помещениях; персональное и временное протоколирование разрешения и периода работы этих лиц в иное время (вечернее, выходные дни); организацию охраны этих помещений в рабочее и нерабочее время, определение порядка снятия помещений с охраны и отключения охранных технических средств, определение порядка постановки помещений на охрану; организацию контролируемого, пропускного режима входа в указанные помещения; регламентацию действий охраны и персонала и экстремальных ситуациях; контроль вносимых и выносимых из помещения персоналом машинных и бумажных носителей информации, оборудования и личных вещей. По окончании рабочего дня конфиденциальная информация переносится на дискеты, которые сдаются в службу конфиденциальной документации. Информация на жестких дисках компьютеров стирается. Однако помещение подлежит охране, так как в неохраняемые компьютеры легко установить средства технической разведки (см. Средства несанкционированного доступа к информации) или специальными методами восстановить информацию на жестких дисках.