Проблема защиты и обработки конфиденциальных документов организациями

Шапошникова Дарья

Мн-492

Проблема защиты и обработки конфиденциальных документов организациями

В современном  мире основной целью любого предпринимателя является получение прибыли, определенный успех и сохранение целостности созданной им организационной структуры. Все это подразумевает экономическую безопасность его деятельности, а именно – информационную безопасность. Особенно трудно защитить информацию сейчас, в эпоху развития компьютерных технологий. Никто из ваших конкурентов не упустит возможность заполучить конфиденциальную информацию и в дальнейшем использовать ее в своих целях. Для того чтобы исключить и существенно ограничить утечку информации, избежать искажения или уничтожения защищаемых сведений, создаются службы по контролю за документами конфиденциального характера, их передвижением и хранением в организации.

Безопасность  ценной документируемой информации определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.

Документируемая информация, используемая предпринимателем в бизнесе и управлении предприятием, организацией, банком, компанией или  другой структурой (далее – фирма), является его собственной или частной информацией, представляющей для него значительную ценность, его интеллектуальной собственностью.

Ценная информация охраняется нормами гражданского, патентного и авторского права или включается в категорию информации, составляющую тайну фирмы.

Тем не менее, до сих пор в законодательстве не содержится ясного определения понятия «конфиденциальная информация», а соответственно нет четко проработанных правил ее защиты и требований.

Хоть информация и  охраняется различными актами, а также  Уголовным правом, это не означает совершенства  в сфере защиты и обработки. Сегодня и законодательство, и наука не позволяют однозначно отграничить информацию от других объектов права, определить ее правовую природу, четко определить круг информационных правоотношений, однозначно определить субъектный состав и содержание информационных отношений и т.д. В частности, своего скорейшего разрешения требует проблема правового регулирования оборота недокументированной информации.

При движении конфиденциальных документов по инстанциям увеличивается число источников информации (сотрудников, баз данных, рабочих материалов и прочее), обладающих ценными сведениями, и расширяются потенциальные возможности для утраты конфиденциальной информации, ее разглашения персоналом, утечки по техническим каналам, исчезновения носителя этой информации. Каналы утраты конфиденциальной документированной информации имеются на всех стадиях и этапах движения документов, при выполнении любых процедур и операций. К ним относятся:

• кража (хищение) документа или отдельных его частей (листов, приложений, копий, схем, фотографий и др.), носителя чернового варианта документа или рабочих записей;
• несанкционированное копирование бумажных и электронных документов, баз данных, фото-, видео- и аудиодокументов, запоминание злоумышленником или его сообщником текста документа;
• тайное или разрешенное ознакомление сотрудника фирмы с документом и сообщение информации злоумышленнику лично или по линиям связи, прочтение текста документа по телефону или переговорному устройству, разглашение информации с помощью мимики, жестов, условных сигналов;
• подмена документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;
• дистанционный просмотр документов и изображений дисплея с помощью технических средств визуальной разведки;
• ошибочные (умышленные или случайные) действия персонала при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами, технологии их обработки и хранения);
• случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов;
• считывание данных в чужих массивах за счет использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах;
• утечка информации по техническим каналам при обсуждении и диктовке текста документа, работе с компьютером и другой офисной техникой;
• гибель документов в условиях экстремальных ситуаций.

Для обеспечения  контроля над сохранностью таких  документов проводится контроль наличия  конфиденциальных документов.

Это достигается  установлением соответствия фактического наличия документов, учетным данным, выявлением отсутствия доков и принятия мер по их поиску.

Для электронных  документов угроза утраты конфиденциальной информации особенно опасна, так как факт кражи информации практически трудно обнаружить. Утрата конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, по мнению ряда специалистов, может быть вызвана следующими факторами:

• непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, работников службы конфиденциальной документации (далее – службы КД), системных администраторов и других лиц, обслуживающих информационные системы (самая частая и большая опасность);
• кражи и подлоги информации;
• угрозы, исходящие от стихийных ситуаций внешней среды;
• угрозы заражения вирусами.

В соответствии с указанными угрозами формируются  задачи защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота, то есть использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Главными проблемами в защите и обработке конфиденциальных документов могут выступать:

• рассылка документов, содержащих конфиденциальную информацию, без защиты;
• недоведение всего перечня документов, содержащих конфиденциальные сведения;
• несоблюдение сохранности документов;
• невыполнение резервного копирования информации.
• Наличие каналов утраты конфиденциальных документов.

Информация – это  один из ресурсов предприятия, без которого четкой и слаженной работы не получится. А конфиденциальная информация дает фирме возможность, изобретая что-то новое, достигать вершин, не покоренных никем в области деятельности этого предприятия благодаря защищенности информации.

Защита документированной  информации в документопотоках обеспечивается комплексом разнообразных мер режимного, технологического, аналитического и контрольного характера. Перемещение документа в процессе выполнения каждой стадии, процедуры обработки или исполнения обязательно сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя и конфиденциальность информации.

Рассмотрим подробнее несколько проблем, возникающих при обработке и защите конфиденциальной информации.

Проанализируем саму рассылку документов, содержащих конфиденциальную информацию, на примере одной коммерческой организации.

По данным исследований, на сегодняшний день порядка трети  от общего количества сотрудников компаний рассылают документы, содержащие конфиденциальную информацию, без применения необходимых мер защиты. В России показатели примерно такие же.

Таблица 1 Отправка конфиденциальных документов

Также по данным исследований было выявлено, что: 25% опрошенных отметили, что считают риск угрозы безопасности таких отправлений крайне низким, 13% - готовы пойти на такой риск, а 16% никогда не задумывались об этом, полагая, что способы отправки, которые они использовали для рассылки корреспонденции, были защищенными и надежными.

В итоге получаем, что  основные потери часто происходят не только от использования незащищенных каналов связи при передаче документа на сторону, но и из-за внутренних утечек и элементарной безалаберности.

Чтобы устранить данную проблему, часто в организациях применяют  специальные системы обмена документами в электронном виде, проводится контроль за обработкой конфиденциальных документов, а также разработка необходимых регламентов и политик, определяющих работу с конфиденциальной информацией (документами) в организации.

Если политики разработаны, значит работники нарушают их. Такие организации имеют более высокий уровень зрелости, но недостаточный, так как в них не проводится аудит и мониторинг выполнения политик безопасности; политики формально разработаны, но обучение работников не проводилось, и следовательно, контроль за их выполнением не осуществляется.

Необходимо воспитывать  пользователя, обучать его работе с документами, прививать сотрудникам  навыки работы с конфиденциальной информацией.

В тех случаях, когда  необходима абсолютная уверенность  в информационной безопасности предприятия, могут помочь системы с встроенными элементами систем управления правами доступа.

С их помощью можно  ограничить доступ к конфиденциальным документам, наложить запрет на ряд действий (например, копирование, пересылка или печать), ограничить возможность работы с документами вне системы.

Рассмотрим еще одну немаловажную проблему – охрана конфиденциальных документов, а именно свободный доступ для всех сотрудников к информации.

Данная проблема может  привести к некоторым последствиям. Так как информация доступна всем сотрудникам, то возникнет угроза в ее распространении, как между сотрудниками, так и за пределами организации в том числе.

Было проведено исследование в некоторых компаниях о том, как чаще всего информация случайным  образом переходит к третьему лицу.

Таблица 2 Непреднамеренный переход информации к третьему лицу

Для улучшения защиты работы с конфиденциальными документами  необходимо во-первых организовать четкий порядок работы с данными документами, обеспечить контроль за прохождением конфиденциальных документов, контроль за рассекречиванием и уничтожением соответствующих документов; во-вторых необходимо создать систему защиты электронной информации, обеспечение контроля за пользованием компьютером.

Также на рабочем месте  сотрудника всегда должен быть отдельный  шкаф / сейф для хранения секретных документов. И конечно, каждый сотрудник должен быть заранее уведомлен о неразглашении конфиденциальной информации, знать ограничения в ее использовании.

Еще одной из проблем  в защите и обработке конфиденциальных документов является проблема защиты информации при работе в компьютерных сетях и с появлением злоумышленника.