Практическая работа №8 Составление плана мероприятий по защите информации при подготовке к проведению совещания. Цель занятия Выработка навыков выполнения мероприятий по защите информации при проведении конфиденциальных совещаний Задание Разработать план проведения конфиденциального совещания. Этапы организации конфиденциального совещания Выделяют следующие этапы проведения конфиденциальных совещаний и переговоров (рис. 1.): Подготовка к проведению Процесс их ведения и документирования Анализ итогов Выполнения достигнутых договоренностей Разрешение на проведение конфиденциальных совещаний и переговоров с приглашением представителей других организаций и фирм дает директор предприятия. Решение директора о предстоящем конфиденциальном совещании доводится до сведения руководителя секретариата, секретаряреферента, специалиста по защите конфиденциальной информации и начальника службы безопасности. В целях дальнейшего контроля за подготовкой и проведением такого совещания информация об этом решении фиксируется в учетной карточке, в которой указываются: наименование совещания, дата, время, состав участников по каждому вопросу и руководитель, ответственный за проведение. Рис. 1. Этапы проведения конфиденциальных совещаний и переговоров Оформление документов конфиденциального совещания План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы. 1. Определение состава участников и их оповещение; 2. Подготовка служебных помещений, в которых планируется проведение совещания; 3. Определение объема обсуждаемой информации; 4. Организация пропускного режима на территории и в служебных помещениях, в которых проводится совещание; 5. Организация допуска участников совещания к рассматриваемым вопросам; 6. Осуществление записи (стенограммы), фото-, кино-, видеосъемки совещания — порядок и возможные способы записи, съемки, стенографирования хода совещания и обсуждаемых вопросов с учетом их конфиденциальности; должностные лица или подразделения, отвечающие за техническое обеспечение данных процессов. 7. Меры по защите информации непосредственно при проведении совещания; 8. Организация учета, хранения, выдачи и рассылки материалов совещания — порядок учета, хранения, размножения, выдачи, рассылки и уничтожения материалов совещания, а также рабочих тетрадей или блокнотов, предназначенных для записи обсуждаемых участниками совещания вопросов; порядок обращения с данными носителями информации непосредственно в ходе совещания и после его окончания; 9. Оформление документов лиц, принимавших участие в совещании, — порядок и сроки оформления документов, подтверждающих право доступа участников совещания к конфиденциальной информации, предписаний или командировочных доверенностей удостоверений на участие и иных в совещании, документов, командированных для участия в совещании лиц. 10. Проверка и обследование места проведения совещания поел его окончания; Организация подготовки и проведения совещаний и переговоров по конфиденциальным вопросам Такие совещания проводятся с разрешения руководителя предприятия. Назначаются ответственные лица, на которых ложится вся ответственность. Все совещания, конференции проводятся с соблюдением требований по проведению совещаний государственной важности и конфиденциальным вопросам. Ответственное лицо проводит мероприятия, куда включены меры по ЗИ. На совещание допускаются лица, имеющие отношение к обсуждаемым вопросам или присутствие которых необходимо. Они должны иметь соотв. допуск. Все прибывшие включаются в список участников. Он передается в службу режима. Служба режима определяет допуск всех лиц из списка. По каждому вопросу – свой список и лица могут быть различны. Совещание сопровождается составлением протокола. Служба режима перед началом совещания оговаривает для всех участников требования. Участники допускаются по списку при предъявлении документа. Совещание проходит в помещении аттестованном по требованиям безопасности. Иногда может присутствовать охрана. При проведении особо секретных совещания могут присутствовать устройства обнаружения прослушки. По окончании совещания проводится зачистка проверяется наличие закладных устройств. Разрешение на проведение конфиденциальных совещаний и переговоров с приглашением представителей других организаций и фирм дает исключительно первый руководитель фирмы. Решение первого руководителя о предстоящем конфиденциальном совещании доводится до сведения секретаря-референта и начальника службы безопасности. В целях дальнейшего контроля за подготовкой и проведением такого совещания информация об этом решении фиксируется секретарем- референтом в специальной учетной карточке. В этой карточке указываются: наименование совещания или переговоров, дата, время, состав участников по каждому вопросу, лицо, руководитель, ответственный за проведение, ответственный организатор, контрольные отметки, зона сведений о факте проведения, зона сведений по результатам совещания или переговоров. Содержание этапов подготовки и проведения совещания или переговоров имеет некоторые отличия. Плановые и неплановые конфиденциальные совещания, проходящие без приглашения посторонних лиц, проводятся первым руководителем, его заместителями, ответственными исполнителями (руководителями, главными специалистами) по направлениям работы с обязательным предварительным информированием секретаря-референта. По факту этого сообщения или проведения такого совещания секретаремреферентом заводится учетная карточка описанной выше формы. Проведение конфиденциальных совещаний без информирования секретаря-референта не допускается. План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы: 1. Определение состава участников и их оповещение; 2. Подготовка служебных помещений, в которых планируется проведение совещания; 3. Определение объема обсуждаемой информации; 4. Организация пропускного режима на территории и в служебных помещениях, в которых проводится совещание; 5. Организация допуска участников совещания к рассматриваемым вопросам; 6. Осуществление записи (стенограммы), фото-, кино-, видеосъемки совещания — порядок и возможные способы записи, съемки, стенографирования хода совещания и обсуждаемых вопросов с учетом их конфиденциальности; должностные лица или подразделения, отвечающие за техническое обеспечение данных процессов. 7. Меры по защите информации непосредственно при проведении совещания; 8. Организация учета, хранения, выдачи и рассылки материалов совещания — порядок учета, хранения, размножения, выдачи, рассылки и уничтожения материалов совещания, а также рабочих тетрадей или блокнотов, предназначенных для записи обсуждаемых участниками совещания вопросов; порядок обращения с данными носителями информации непосредственно в ходе совещания и после его окончания; 9. Оформление документов лиц, принимавших участие в совещании, — порядок и сроки оформления документов, подтверждающих право доступа участников совещания к конфиденциальной информации, предписаний или доверенностей на участие в совещании, командировочных удостоверений и иных документов, командированных для участия в совещании лиц. 10. Проверка и обследование места проведения совещания поел его окончания; 11. Организация контроля за выполнением требований по защите информации. Независимо от степени конфиденциальности рассматриваемых на совещании вопросов, участникам совещания не разрешается: • информировать о факте, месте, времени проведения совещания, повестке дня, рассматриваемых вопросах и ходе их обсуждения любых лиц, не принимающих участия в совещании и не имеющих к нему непосредственного отношения; • в ходе совещания производить выписки из документов и иных носителей конфиденциальной информации, используемых при обсуждении, на неучтенные в установленном порядке носители (отдельные листы бумаги и т.п.); • обсуждать вопросы, вынесенные на совещание, в местах общего пользования во время перерывов в совещании и после его завершения; • в ходе проведения совещания расширять объем конфиденциальной информации, используемой в выступлениях, а также при обмене мнениями и обсуждении рассматриваемых вопросов. Носители конфиденциальной информации, содержащие материалы совещания, выдаются режимно-секретным подразделением (службой безопасности) участникам совещания под расписку, а после окончания совещания возвращаются. Контроль своевременного возврата этих носителей осуществляют сотрудники указанных подразделений. Для записи хода совещания и обсуждаемых вопросов его участникам в установленном порядке выдаются рабочие тетради или рабочие блокноты, учтенные в службе безопасности (режимно-секретном подразделении) и имеющие соответствующий гриф секретности (конфиденциальности). Эти рабочие тетради (блокноты) по окончании совещания возвращаются в режимно-секретное подразделение (службу безопасности). При необходимости они могут быть секретной (конфиденциальной) почтой направлены для дальнейшего хранения и использования в организации, представители которых производили в них записи на совещании. Итоговые документы совещания, а также материалы выступлений участников, в том числе и оформленные в электронном виде, в установленном порядке высылаются в организации, направлявшие на совещание своих представителей, а также в вышестоящие органы государственной власти (организации). Перечень организаций, которым необходимо направить материалы совещания, определяет руководитель предприятия-организатора. В необходимых случаях этот перечень согласовывается с руководителями организаций, представители которых принимали участие в совещании. Лицам, принимавшим участие в совещании, без письменного разрешения предприятия — организатора совещания запрещается использовать материалы совещания и его результаты при взаимодействии (проведении работ, переписке) с организациями, представители которых на него не приглашались. Службой безопасности предприятия (режимно-секретным подразделением) проводится постоянный анализ возможных каналов утечки конфиденциальной информации при проведении совещаний на территории предприятия и, по решению руководителя предприятия (его заместителя), принимаются дополнительные меры, направленные на повышение эффективности защиты информации. Порядок проведения конфиденциальных совещаний Совещания и переговоры, в процессе которых могут обсуждаться сведения, составляющие тайну фирмы или ее партнеров, именуются обычно конфиденциальными. переговоров Порядок проведения регламентируется подобных специальными совещаний и требованиями, обеспечивающими безопасность ценной, в том числе конфиденциальной, информации (далее — ценной информации), которая в процессе этих мероприятий распространяется в санкционированном (разрешенном) режиме. Основной угрозой ценной информации является разглашение большего объема сведений о новой идее, продукции или технологии, чем это необходимо. Причины, по которым информация может разглашаться на конфиденциальных совещаниях или переговорах, общеизвестны: Слабое знание сотрудниками состава ценной информации и требований по ее защите, умышленное невыполнение этих требований, Провоцированные и неспровоцированные ошибки сотрудников, Отсутствие контроля за изданием рекламной и рекламно-выставочной продукции и др. Оглашение ценной информации в санкционированном режиме должно быть оправдано деловой необходимостью и целесообразностью для конкретных условий и характера обсуждаемых вопросов. Основные этапы проведения конфиденциальных совещаний и переговоров: Подготовка к проведению; Процесс их ведения и документирования; Анализ итогов и выполнения достигнутых договоренностей. Разрешение на проведение конфиденциальных совещаний и переговоров с приглашением представителей других организаций и фирм дает исключительно первый руководитель фирмы. Решение первого руководителя Курс лекций о предстоящем конфиденциальном совещании доводится до сведения референта, менеджера по безопасности информации, руководителя секретариата, секретаря-референта, менеджера документации, управляющего делами по конфиденциальной фирмы и начальника службы безопасности. В целях дальнейшего контроля за подготовкой и проведением такого совещания информация об этом решении фиксируется референтом в специальной учетной карточке. В этой карточке указываются: наименование совещания или переговоров, дата, время, состав участников по каждому вопросу, лицо, руководитель, ответственный за проведение, ответственный организатор, контрольные отметки, зона сведений о факте проведения, зона сведений по результатам совещания или переговоров. Плановые и неплановые конфиденциальные совещания, проходящие без приглашения посторонних лиц, проводятся первым руководителем, его заместителями, ответственными исполнителями (руководителями, главными специалистами) по направлениям работы с обязательным предварительным информированием референта. По факту этого сообщения или проведения такого совещания референтом заводится учетная карточка описанной выше формы. Проведение конфиденциальных совещаний без информирования референта не допускается. Доступ сотрудников фирмы на любые конфиденциальные совещания осуществляется на основе действующей в фирме разрешительной системы доступа персонала к КИ. Приглашение на конфиденциальные совещания лиц, не являющихся сотрудниками фирмы, санкционируется только в случае крайней необходимости их личного участия в обсуждении конкретного вопроса. Присутствие их при обсуждении других вопросов запрещается. Ответственность за обеспечение защиты ценной информации и сохранение тайны организующий фирмы данное в ходе совещания совещание. Референт несет руководитель, оказывает помощь руководителям и совместно со службой безопасности осуществляет контроль за перекрытием возможных организационных и технических каналов утраты информации. Подготовку конфиденциального совещания осуществляет организующий его руководитель с привлечением сотрудников фирмы, допущенных к работе с конкретной ценной информацией, составляющей тайну фирмы или ее партнеров. Из организатор, числа этих сотрудников планирующий и назначается ответственный координирующий выполнение подготовительных мероприятий и проведение самого совещания. Этот сотрудник информирует референта о ходе подготовки совещания или переговоров. Полученная информация вносится референтом в учетную карточку. В процессе подготовки конфиденциального совещания: Составляются программа проведения совещания; Повестка дня; Информационные материалы; Проекты решений и список участников совещания по каждому вопросу повестки дня. Все документы, составляемые в процессе подготовки конфиденциального совещания, должны иметь гриф «Конфиденциально», изготовляться и издаваться в соответствии с требованиями инструкции по обработке и хранению КД. Документы (в том числе проекты договоров, контрактов и др.), предназначенные для раздачи участникам совещания, не должны содержать конфиденциальные сведения. Эта информация сообщается участникам совещания устно при обсуждении конкретного вопроса. Цифровые значения наиболее ценной информации (технические и технологические параметры, суммы, проценты, сроки, объемы и т. п.) в проектах решений и других документах не указываются или фиксируются в качестве общепринятого значения, характерного для сделок подобного рода и являющегося стартовой величиной при обсуждении. В проектах не должно быть развернутых обоснований предоставляемых льгот, скидок или лишения льгот тех или иных партнеров, клиентов. Документы, раздаваемые участникам совещания, не должны иметь гриф конфиденциальности. Список участников конфиденциального совещания составляется отдельно по каждому обсуждаемому вопросу. К участию в обсуждении вопроса привлекаются только те сотрудники фирмы, которые имеют непосредственное отношение к этому вопросу. Это правило касается и руководителей. В списке участников указываются фамилии, имена и отчества лиц, занимаемые должности, представляемые ими учреждения, организации, фирмы и наименования документов, подтверждающих их полномочия вести переговоры и принимать решения. Название представляемой фирмы может при необходимости заменяться ее условным обозначением. Документом, подтверждающим полномочия прибывшего лица (если это не первый руководитель), при ведении переговоров и принятии решений по конкретному вопросу, может служить письмо, предписание, доверенность представляемой лицом фирмы, рекомендательное письмо авторитетного юридического или физического лица, письменный ответ фирмы на запрос о полномочиях представителя, в отдельных случаях — телефонное или факсимильное подтверждение полномочий первым руководителем представляемой фирмы. Эти документы передаются участниками совещания ответственному организатору непосредственно перед началом совещания для последующего включения их референтом в дело, содержащее все материалы по данному совещанию или переговорам. Документы, составляемые при подготовке конфиденциального совещания, на котором предполагается присутствие представителей других фирм и организаций, согласовываются с референтом и руководителем службы безопасности. Отмеченные ими недостатки в обеспечении защиты ценной информации должны быть исправлены ответственным организатором совещания. После этого документы утверждаются руководителем, организующим совещание. Одновременно с визированием подготовленных документов референт, руководитель службы безопасности и ответственный организатор определяют место проведения совещания, порядок доступа участников совещания в это помещение, порядок документирования хода обсуждения вопросов и принимаемых решений, а также порядок рассылки (передачи) участникам совещания оформленных решений и подписанных документов.