Artículos

Desarrollo de un sistema de protección de información confidencial.

logo11d 4 1

Desarrollo de un sistema para proteger la confidencialidad información..

Desarrollo de un sistema de protección de información confidencial.

Desarrollo de un sistema para proteger la información confidencial

Stolyarov Nikolay Vladimirovich

Fuente—security.meganet.md

La divulgación de CI se refiere a acciones intencionales o negligentes de personas admitidas en CI, que conducen a la difusión prematura, no causada por una necesidad oficial, de la información especificada entre personas, incluidos los empleados de JSC, a quienes esta información no fue comunicada de la manera oficialmente establecida; La fuga de CI es la difusión no autorizada de información fuera del espacio físico establecido.

La protección integral de la CI tiene como objetivo resolver dos problemas: proteger el derecho de la organización a la CI, incluidos los relacionados con la categoría de propiedad intelectual de la organización (logrado mediante la aplicación de las normas legales de la legislación vigente de la Federación de Rusia); prevención de amenazas a la seguridad de la información de la organización, su identificación y mitigación significativa (lograda mediante la implementación de un conjunto de medidas legales, organizativas y técnicas para la protección de la IC, acordadas en el propósito, lugar y momento de aplicación, formando una información confidencial sistema de protección (CIPS)).
SZKI permite fortalecer la seguridad económica de una organización, lo que ayuda a crear las condiciones para el funcionamiento sostenible a largo plazo de la organización.

¿¿Qué es la información confidencial??? La categoría de información confidencial incluye todo tipo de información restringida protegida por la ley:

  • comercial
  • oficial
  • personal

con excepción de los secretos de Estado. (Artículos 727, 771, 1032 del Código Civil de la Federación de Rusia, artículo 16 del Código de Aduanas de la Federación de Rusia, Decreto del Presidente de la Federación de Rusia del 6 de marzo de 1997 No. 188 «Sobre la aprobación de la lista de información confidencial”)

“Secreto comercial: un tipo de secreto que incluye información establecida y protegida por su propietario en cualquier área de su actividad comercial, cuyo acceso está limitado en interés de el dueño de la información.”

Un secreto comercial es uno de los principales tipos de secretos, ya que el éxito de una empresa que produce productos o servicios está determinado por la capacidad de competir y, por lo tanto, de poder ver cómo es posible lograr un aumento de las ganancias en comparación con los competidores. .

La información que constituye un secreto comercial puede incluir cualquier información comercial, excepto las restricciones impuestas por el Decreto del Gobierno de la Federación de Rusia «Sobre la lista de información que no puede constituir un secreto comercial» del 5 de diciembre de 1991. N° 35

La información relacionada con información de propiedad exclusiva no suele ser objeto de transacciones independientes, pero su divulgación puede causar daños a la propiedad de la organización y a su reputación comercial.

En la Ley Federal de 20 de febrero de 1995 N 24-FZ «Sobre la información, informatización y protección de la información» información sobre los ciudadanos—datos personales—información sobre hechos, acontecimientos y circunstancias de la vida de un ciudadano, que permite identificar su identidad.

Creación de un sistema de protección de IC

Para participar legalmente en la protección de información confidencial, es necesario obtener una licencia para realizar actividades de protección técnica de información confidencial (de acuerdo con el REGLAMENTO SOBRE LICENCIAS DE ACTIVIDADES PARA LA PROTECCIÓN TÉCNICA DE INFORMACIÓN CONFIDENCIAL Aprobado por Decreto del Gobierno de la Federación de Rusia de 30 de abril de 2002 N 290). :

Para ello es necesario cumplir los siguientes requisitos:

a) implementación de actividades autorizadas por especialistas con formación profesional superior en la especialidad «seguridad informática», «provisión integral de seguridad de la información de sistemas automatizados» o «seguridad de la información de los sistemas de telecomunicaciones», o especialistas que hayan recibido una nueva capacitación en temas de seguridad de la información.

b) cumplimiento de las instalaciones de producción, equipos de producción, prueba y control con las normas y requisitos técnicos establecidos por las normas estatales de la Federación de Rusia y los documentos normativos y metodológicos sobre protección de la información técnica; (cláusula «b» modificada por el Decreto del Gobierno de la Federación de Rusia del 23 de septiembre de 2002 N 689)

c) el uso de información certificada (certificada de acuerdo con los requisitos de seguridad de la información) ) sistemas automatizados que procesan información confidencial, así como medios para proteger dicha información;

d) el uso por parte de terceros de programas para ordenadores electrónicos o bases de datos sobre la base de un acuerdo con el titular de los derechos de autor.

Para obtener una licencia, el solicitante de la licencia presenta los siguientes documentos a la autoridad otorgante de licencias:

a) una solicitud de licencia que indique:
actividad autorizada;
nombre, forma jurídica y ubicación ;— para una persona jurídica;
apellido, nombre, patronímico, lugar de residencia, datos del documento de identificación, —para un empresario individual;

b) copias de los documentos constitutivos y un documento que acredite la inscripción de una persona jurídica en el Registro Estatal Unificado de Personas Jurídicas; (modificado por el Decreto del Gobierno de la Federación de Rusia de 02.06.2003 N 64)

c) una copia del certificado de registro estatal del solicitante de la licencia — empresario individual;

d) copia del certificado de registro del solicitante de la licencia ante la autoridad fiscal indicando el número de identificación del contribuyente;

e) un documento que confirme el pago de la tasa de licencia para el examen de la solicitud de licencia;

f) información sobre las calificaciones de los especialistas en proteger la información del solicitante de la licencia.
Si las copias de los documentos no están legalizadas ante notario, se deberán presentar los originales junto con las copias.

La licencia tiene una validez de cinco años y puede prorrogarse a petición del licenciatario en la forma prescrita para la renovación de la licencia.

La renovación de una licencia se lleva a cabo dentro de los diez días siguientes a la fecha en que la autoridad otorgante recibe la solicitud correspondiente.

El desarrollo de medidas y garantizar la protección de la información lo llevan a cabo unidades de protección de la información (servicios de seguridad) o especialistas individuales designados por la dirección de la empresa (institución) para realizar dicho trabajo. El desarrollo de medidas de seguridad de la información también puede ser realizado por empresas de terceros que tengan las licencias correspondientes de la Comisión Técnica Estatal de Rusia y/o FAPSI para el derecho a prestar servicios en el campo de la seguridad de la información.
Como saben, la ley es un conjunto de reglas y normas de comportamiento generalmente vinculantes, establecidas o sancionadas por el Estado en relación con determinadas áreas de la vida y actividad de los órganos gubernamentales, las empresas (organizaciones) y la población (individuos).

Las normas legales para garantizar la seguridad y protección de la información en cualquier empresa (empresa, organización) se reflejan en la totalidad de los documentos constitutivos, organizativos y funcionales.

Los requisitos para garantizar la seguridad y protección de la información se reflejan en la Carta:

  • la empresa tiene derecho a determinar la composición, alcance y procedimiento para proteger la información confidencial, exigir a sus empleados que garanticen su seguridad y protección contra amenazas internas y externas;
  • la empresa está obligada a garantizar la seguridad de la información confidencial.

Dichos requisitos otorgan a la administración empresarial el derecho de:

  • crear estructuras organizativas para proteger la información confidencial;
  • emitir documentos normativos y administrativos que definan el procedimiento para la asignación de información confidencial y los mecanismos para su protección;
  • incluir requisitos de protección de la información en 5; contratos para todo tipo de actividades económicas;
  • exigir la protección de los intereses de la empresa a las autoridades gubernamentales y judiciales;
  • disponer de la información que es propiedad de la empresa con el fin de obtener beneficios y evitar daños económicos al personal de la empresa y al propietario de los fondos de producción;
  • desarrollar una “Lista de Información Confidencial”. Los requisitos para la seguridad jurídica de la protección de la información están previstos en el convenio colectivo.

El estatuto de la organización debe contener los siguientes requisitos:

Sección “Derechos y Responsabilidades”:

1. La empresa tiene derecho a:

  • garantizar su seguridad económica, determinar la composición, volumen y procedimiento para proteger la información confidencial;
  • exigir a los empleados que garanticen la seguridad económica y la protección de la información confidencial;
  • supervisar el cumplimiento de las medidas para garantizar la seguridad económica y la protección de la información confidencial.

2. La empresa está obligada a:

  • garantizar la seguridad económica y la protección de la información confidencial;
  • Ejercer un control efectivo sobre la implementación de medidas de seguridad económica y la protección de la información confidencial.

Sección “Información Confidencial”:

La Compañía organiza la protección de su información confidencial. La composición y volumen de la información de carácter confidencial, y el procedimiento para su protección son determinados por el Director General.

LA INTRODUCCIÓN DE ESTAS ADICIONES DA A LA ADMINISTRACIÓN EL DERECHO:

  • crear estructuras organizativas para la protección de los secretos comerciales o asignar estas funciones a los funcionarios pertinentes;
  • emitir documentos reglamentarios y administrativos que definan el procedimiento para aislar la información que constituye un secreto comercial y los mecanismos para su protección;
  • incluir requisitos para la protección de secretos comerciales en contratos para todo tipo de actividades comerciales (colectivas y conjuntas con subcontratistas);
  • exigir la protección de los intereses de la empresa ante las autoridades gubernamentales y judiciales;
  • Disponer de información que sea propiedad de la empresa con el fin de obtener beneficios y evitar daños económicos al equipo y al propietario de los medios de producción.

El convenio colectivo debe contener los siguientes requisitos:

Apartado “Objeto del convenio”

  • La administración se compromete, con el fin de evitar daños económicos al equipo, a garantizar el desarrollo e implementación de medidas para la seguridad económica y la protección de la información confidencial.
  • La plantilla asume obligaciones de cumplimiento de los requisitos establecidos por la empresa en materia de seguridad económica y protección de la información confidencial.
  • La administración debe tener en cuenta los requisitos de seguridad económica y protección de la información confidencial en la normativa laboral interna, en las responsabilidades funcionales de los empleados y en la normativa sobre unidades estructurales.

Sección “Personal. Garantizar la disciplina laboral»

La administración se compromete a responsabilizar a los infractores de los requisitos de seguridad económica y protección de la información confidencial de conformidad con la legislación de la Federación de Rusia.

Es recomendable complementar la normativa laboral interna de los trabajadores y empleados de una empresa con los siguientes requisitos:

Sección “Procedimiento de contratación y despido de trabajadores y empleados”

Al contratar un empleado o trasladarlo en la forma prescrita para otros trabajos relacionados con información confidencial, así como en caso de despido, la administración está obligada a:

  • instruir al empleado sobre las reglas de seguridad económica y preservación de información confidencial;
  • redactar un compromiso por escrito de no divulgación de información confidencial. La administración tiene derecho a:
  • tomar decisiones sobre la remoción del trabajo de personas que violen los requisitos de protección de la información confidencial;
  • supervisar el cumplimiento de las medidas de protección y no divulgación de información confidencial dentro de la empresa.

Apartado “Principales responsabilidades de los trabajadores y empleados”

Los trabajadores y empleados están obligados a:

  • conocer y cumplir estrictamente las requisitos de seguridad económica y protección de la información confidencial;
  • comprometerse voluntariamente por escrito a no revelar información confidencial;
  • tenga cuidado al almacenar documentos y productos personales y oficiales que contengan información confidencial. Si se pierden, informar inmediatamente a la administración.

Apartado “Principales responsabilidades de la administración”

La administración y los jefes de departamento están obligados a:

  • velar por el estricto cumplimiento de los requisitos de seguridad económica y protección de la información confidencial;
  • realizar consistentemente trabajos organizativos, económicos y educativos destinados a proteger los intereses económicos y la información confidencial;
  • incluir requisitos específicos para la seguridad económica y la protección de información confidencial en las regulaciones sobre departamentos y descripciones de puestos;
  • cumplir constantemente con los requisitos de los estatutos, convenios colectivos, contratos de trabajo, reglamentos laborales internos y otros documentos económicos y organizativos en términos de garantizar la seguridad económica y la protección de la información confidencial.

La administración y los jefes de departamento son directamente responsables de la organización y cumplimiento de las medidas de seguridad económica y de protección de la información confidencial.

El acuerdo de trabajo conjunto deberá contener los siguientes requisitos:
Apartado “Condiciones de Confidencialidad”

Las partes se comprometen a no transferir licencias a personas y a no revelar públicamente información sobre el trabajo conjunto sin mutuo acuerdo. Por violación de esta condición, las partes asumen la responsabilidad financiera por daños, lucro cesante y daño moral.

Las personas que violen los términos de confidencialidad podrán ser consideradas responsables de conformidad con la ley aplicable.

Las obligaciones de un empleado, trabajador o empleado específico en términos de protección de la información deben especificarse en el contrato de trabajo (contrato). De conformidad con el Código del Trabajo (capítulo III), al celebrar un contrato de trabajo, el trabajador se compromete a cumplir determinados requisitos vigentes en la empresa de que se trate. Independientemente de la forma de celebración del contrato (oral o escrita), la firma del trabajador en la orden de contratación confirma su acuerdo con los términos del contrato (Código de Trabajo de Rusia, art. 18).

Los requisitos para la protección de la información confidencial pueden especificarse en el texto del acuerdo si el acuerdo se concluye por escrito. Si el acuerdo se concluye oralmente, se aplican los requisitos de protección de la información que surgen de los documentos reglamentarios de la empresa. Al celebrar un contrato de trabajo y emitir una orden para contratar a un nuevo empleado, se toma nota sobre su conocimiento de los procedimientos de protección de información de la empresa. Esto crea el elemento necesario para incluir a esta persona en el mecanismo de seguridad de la información.

El uso de acuerdos de confidencialidad no es en absoluto una medida independiente para protegerlo. No piense que después de firmar dicho acuerdo con un nuevo empleado, se guardará el secreto. Esto es sólo una advertencia para el empleado de que está entrando en juego un sistema de medidas para proteger la información y una base legal para detener sus acciones incorrectas o ilegales. La siguiente tarea es evitar la pérdida de secretos comerciales.

La implementación de normas y actos legales destinados a proteger la información a nivel organizacional se basa en ciertas formas organizativas y legales, que incluyen el mantenimiento de la confidencialidad del trabajo y las acciones, contratos (acuerdos) y diversas formas de ley obligatoria.

La confidencialidad es una forma de manejo de información que constituye información confidencial, basada en medidas organizativas que excluyen la adquisición ilícita de dicha información.

Los contratos son acuerdos entre las partes (dos o más personas) sobre el establecimiento, modificación o terminación de obligaciones mutuas.

Una obligación es una relación jurídica civil en virtud de la cual una parte (el deudor) se obliga a realizar determinadas acciones a favor de la otra parte.

La regulación legal es necesaria para mejorar el mecanismo de prevención de acciones ilegales en relación con los recursos de información, para aclarar y consolidar las tareas y poderes de los sujetos individuales en el campo de las actividades preventivas, la protección de los derechos e intereses legítimos. de ciudadanos y organizaciones.

Un análisis de la legislación que regula las actividades de las entidades en el campo de la seguridad de la información muestra la presencia de ciertas deficiencias. Las normas jurídicas existentes se encuentran dispersas en varios reglamentos emitidos en diferentes momentos, en diferentes condiciones y en diferentes niveles. La legislación actual no está sistematizada, lo que genera grandes dificultades en su aplicación en la práctica.

La protección organizacional es la regulación de las actividades de producción y las relaciones entre los artistas intérpretes o ejecutantes sobre una base legal que excluye o complica significativamente la adquisición ilegal de información confidencial y la manifestación de amenazas internas y externas.

La protección organizacional proporciona:

  • organización de la seguridad, régimen, trabajo con el personal, con documentos;
  • uso de medios técnicos de seguridad y actividades de información y análisis para identificar amenazas internas y externas a la actividad empresarial.

Las medidas organizativas juegan un papel importante en la creación de un mecanismo confiable para proteger la información, ya que la posibilidad de uso no autorizado de información confidencial está determinada en gran medida no por aspectos técnicos, sino por acciones maliciosas, negligencia, negligencia y negligencia de los usuarios o del personal de seguridad. La influencia de estos aspectos es casi imposible de evitar utilizando medios técnicos. Esto requiere un conjunto de medidas organizativas, legales, organizativas y técnicas que eliminarían (o al menos minimizarían) la posibilidad de peligro de la información confidencial.

Las principales actividades organizativas incluyen:

  • organización del régimen y la seguridad. Su objetivo es excluir la posibilidad de entrada secreta al territorio y locales de personas no autorizadas; asegurar la conveniencia de controlar el paso y movimiento de empleados y visitantes; creación de zonas de producción separadas según el tipo de trabajo confidencial con sistemas de acceso independientes; control y cumplimiento del régimen temporal de trabajo y estancia en el territorio del personal de la empresa; organizar y mantener un control de acceso confiable y control de empleados y visitantes, etc.;
  • Organización del trabajo con los empleados, que incluye la selección y colocación del personal, incluida la familiarización con los empleados, su estudio, capacitación en las reglas para trabajar con información confidencial, familiarización con las medidas de responsabilidad por violar las reglas de protección de la información. , etc.;
  • organizar el uso de medios técnicos para recopilar, procesar, acumular y almacenar información confidencial;
  • organización del trabajo para analizar amenazas internas y externas a la información confidencial y desarrollar medidas para garantizar su protección;
  • organización del trabajo para realizar un control sistemático sobre el trabajo del personal con información confidencial, el procedimiento para registrar, almacenar y destruir documentos y medios técnicos.
  • organización del trabajo con documentos e información documentada, incluida la organización del desarrollo y uso de documentos y medios de información confidencial, su registro y ejecución, devolución, almacenamiento y destrucción;

Basado en la situación y para mejorar el sistema de seguridad de la información, propongo combinar todos los servicios involucrados en la protección de la información en un solo servicio y llamarlo servicio de seguridad, cuyas funciones será el siguiente:

  • organiza y asegura el control de acceso y control dentro de las instalaciones en edificios y locales, procedimientos de seguridad, monitorea el cumplimiento de los requisitos del régimen por parte de empleados, inquilinos, socios y visitantes;
  • gestiona el trabajo de protección técnica, así como la regulación legal y organizativa de las relaciones para proteger los secretos de estado y la información confidencial;
  • desarrolla documentos fundamentales con el fin de consolidar en ellos los requisitos para garantizar la seguridad y protección de los secretos de estado y la información confidencial, en particular los estatutos, reglamentos laborales internos, reglamentos sobre departamentos, así como contratos de trabajo, convenios, contratos, descripciones de puestos y responsabilidades de la dirección, especialistas, trabajadores y empleados;
  • desarrolla e implementa, junto con otros departamentos, medidas para asegurar el trabajo con documentos que contienen información que es secreto de estado e información confidencial para todo tipo de trabajo, organiza y monitorea el cumplimiento de los requisitos de las instrucciones para la protección de secretos de estado e información confidencial; ;
  • estudia todos los aspectos de las actividades productivas, comerciales, financieras y de otro tipo para identificar y cerrar posibles canales de fuga de secretos de estado e información confidencial, mantiene registros y analiza violaciones de seguridad, acumula y analiza datos sobre las aspiraciones maliciosas de competidores y otras organizaciones en relación con las actividades de la organización y sus clientes, socios y subcontratistas;
  • organiza y lleva a cabo investigaciones oficiales sobre divulgación de información, pérdida de documentos y otras violaciones de la seguridad de la organización;
  • desarrolla, mantiene, actualiza y amplía la lista de información que constituye información confidencial y otras normas que regulan el procedimiento para garantizar la seguridad y protección de la información;
  • garantiza el estricto cumplimiento de los requisitos de los documentos reglamentarios para la protección de información confidencial;
  • lleva a cabo la gestión de los servicios y divisiones de seguridad de las empresas de la organización en los términos estipulados en los contratos para la protección de secretos de estado e información confidencial;
  • organiza y lleva a cabo periódicamente capacitación para los empleados de la empresa y los servicios de seguridad en todas las áreas de protección de secretos de estado e información confidencial, garantizando que exista un enfoque profundamente consciente para la protección de secretos comerciales;
  • mantiene registros de cajas fuertes, armarios metálicos, instalaciones especiales de almacenamiento y otros locales en los que se permite el almacenamiento permanente o temporal de secretos de estado e información confidencial;
  • mantiene registros de las instalaciones asignadas para el trabajo confidencial y del equipo técnico que contienen, que tienen canales potenciales para la fuga de información;

El servicio de seguridad debe ser una unidad organizativa independiente, reportando directamente al director general de la organización.

El servicio de seguridad está dirigido por el jefe del servicio en el cargo de Director General Adjunto de Seguridad.

Organizativamente, el servicio de seguridad consta de las siguientes unidades estructurales:

  • departamento de seguridad;
  • Departamento de protección de la información confidencial:
  • Sector de procesamiento de documentos denominado «información confidencial»;
  • Laboratorio de seguimiento de la seguridad frente al acceso no autorizado a la información de sistemas automatizados y equipos informáticos.
  • Laboratorio para el seguimiento integral de la eficacia de la lucha contra la inteligencia técnica extranjera y la protección de la información técnica;
  • grupo para analizar la posibilidad de crear canales técnicos para la fuga de información;

Para proteger la información confidencial, la organización debe desarrollar los siguientes documentos regulatorios y legales:

  • Lista de información que constituye la información confidencial de la organización;
  • Obligación contractual de no divulgación de información personal
  • Instrucciones para la protección de información confidencial

La protección de la información en las computadoras debe realizarse de acuerdo con los requisitos de la Comisión RD Gostekh y STR-k (requisitos y recomendaciones especiales para la protección técnica de la información confidencial).

En primer lugar, una lista Se debe desarrollar un conjunto de datos que constituya información confidencial de la organización. La lista debe incluir toda la información que sea propiedad de la organización.

Información (y sus medios) significa:

  • Datos obtenidos como resultado del procesamiento de información utilizando medios técnicos (equipos de oficina);
  • Información como un dato que contiene información útil y es utilizado por los empleados de la organización para trabajar con fines oficiales;
  • Documentos (medios) formados como resultado de la actividad mental de los empleados de la organización, incluida información de cualquier origen, tipo y finalidad, pero necesaria para el normal funcionamiento de la organización.

La información incluida en la Lista tiene un uso (aplicación) limitado. Las restricciones introducidas sobre el uso de información que constituye información confidencial tienen como objetivo proteger la propiedad intelectual, material, financiera y otros intereses que surjan en la organización de las actividades laborales de los empleados (personal) de sus divisiones, así como en su cooperación con empleados de otras empresas. .

En total, la información confidencial debe entenderse como información que no es secreto de estado, pero que está relacionada, en primer lugar, con la producción, gestión, finanzas u otras actividades económicas de una organización, la divulgación (transferencia, filtración, robo) de que puedan perjudicar sus intereses o los de sus propietarios.

La base legislativa para la protección de la información confidencial es la segunda parte del Código Civil de la Federación de Rusia.

Al desarrollar la lista, debe guiarse por:

  • La Constitución de la Federación de Rusia, adoptada el 12 de diciembre de 1993
  • Ley de la Federación de Rusia «sobre secretos de Estado» Nº 5485-1 de 21.07.93
  • Ley federal de la Federación de Rusia «sobre información, informatización y protección de la información» Nº 24-FZ de 20.02. 95
  • Decreto del Presidente de la Federación de Rusia “sobre la aprobación de la Lista de información clasificada como secreto de estado” No. 1203 del 30 de noviembre de 1995
  • Decreto del Presidente de la Federación de Rusia “tras la aprobación de la Lista de información clasificada como secreto de estado” No. 188 del 6 de marzo de 1997
  • Decreto del Gobierno de la Federación de Rusia «Sobre la lista de información que no puede constituir un secreto comercial» Nº 35 de 12.05.91
  • Información que está disponible públicamente por motivos legales, incluso de conformidad con el Decreto de Gobierno de la Federación de Rusia No. 35 del 12 de mayo de 91.:
  • Documentos constitutivos (decisión de crear una empresa o acuerdo de fundadores) y estatuto;
  • Documentos que otorgan el derecho a ejercer una actividad empresarial (certificados de registro, licencias, patentes);
  • Información sobre las formas establecidas de presentación de informes sobre actividades financieras y económicas y otra información necesaria para verificar la exactitud del cálculo y pago de impuestos y otros pagos obligatorios al sistema presupuestario estatal de Rusia;
  • Documentos de solvencia; información sobre el número, composición de los empleados, sus salarios y condiciones laborales, así como la disponibilidad de puestos de trabajo disponibles;
  • Documentos sobre pago de impuestos y pagos obligatorios;
  • Información sobre contaminación ambiental, violación de la legislación antimonopolio, incumplimiento de condiciones de trabajo seguras, venta de productos nocivos para la salud pública, así como otras violaciones de la legislación de la Federación de Rusia y la magnitud de los daños causados;
  • Información sobre la participación de funcionarios de la empresa en cooperativas, pequeñas empresas, asociaciones y otras organizaciones dedicadas a actividades comerciales.
  • Análisis de las ventajas y desventajas del uso abierto y cerrado (interno) de dicha información.
  • Análisis de la naturaleza de los posibles daños en caso de difusión no autorizada de información confidencial;

Una vez desarrollado el borrador de la lista, se discute y aprueba en el ETC y se acuerda con el director general de la organización, los jefes de los principales servicios y departamentos. La lista es presentada por. orden del director general de la organización como anexo al mismo.

Los empleados de la organización que, por la naturaleza de su trabajo o responsabilidades funcionales, puedan acceder a información que constituya información confidencial, deberán familiarizarse con esta orden y su anexo previa firma.

La lista deberá distribuirse de forma diferenciada al menos una vez al año a todos los empleados de la organización que utilicen en su trabajo parcial o totalmente información, información, datos o trabajen con documentos DSP y sus soportes. Todas las personas contratadas por la organización deben recibir capacitación y leer el memorando sobre el mantenimiento de información confidencial.

Un empleado que haya obtenido acceso a información y documentos confidenciales debe firmar una obligación contractual individual por escrito (Anexo 2) sobre su confidencialidad. La obligación se redacta en una sola copia y se conserva en el expediente personal del empleado durante al menos 5 años después de su despido. Tras su despido de la organización, se compromete a no revelar información confidencial de la organización.

A continuación, se deben desarrollar instrucciones que regulen el procedimiento para que los empleados accedan a los datos informáticos, el procedimiento para crear, registrar, almacenar y destruir documentos confidenciales de la organización. Al redactar dichas instrucciones, uno debe guiarse por las disposiciones de GOST R6 30-2003- «Sistemas de documentación unificados», así como por el «Sistema unificado de documentación organizativa y administrativa». Requisitos para la preparación de documentos”, que fue adoptado y puesto en vigor por Decreto de la Norma Estatal de la Federación de Rusia de 3 de marzo de 2003 No. 65-Art.

Las instrucciones para proteger la información confidencial deben constar de las siguientes partes:

  1. DISPOSICIONES GENERALES.
  2. INFORMACIÓN CONFIDENCIAL
  3. RESPONSABILIDAD POR LA DIVULGACIÓN DE INFORMACIÓN CONFIDENCIAL
  4. SISTEMA DE ACCESO DE LOS EMPLEADOS A LOS COMPONENTES DE INFORMACIÓN DE CI.
  5. LA GAMA DE PERSONAS QUE TIENEN DERECHO A DAR PERMISO PARA ACCEDER A DOCUMENTOS CONFIDENCIALES
  6. PROCEDIMIENTO PARA EL REGISTRO DEL PERMISO PARA ACCEDER A DOCUMENTOS CONFIDENCIALES
  7. PROCEDIMIENTO PARA EL ACCESO A REUNIONES SOBRE PROBLEMAS QUE CONTIENEN INFORMACIÓN CONFIDENCIAL
  8. PREPARACIÓN Y PUBLICACIÓN DE DOCUMENTOS CONFIDENCIALES
  9. CONTABILIDAD, PASO Y ENVÍO DE DOCUMENTOS CONFIDENCIALES EXPEDIDOS
  10. RECEPCIÓN, CONTABILIDAD Y PASO DE DOCUMENTOS RECIBIDOS
  11. CONTABILIDAD DE DOCUMENTOS CONFIDENCIALES DEDICADOS ALMACENAMIENTO
  12. Contabilidad de revistas y archivadores
  13. Organización del almacenamiento de documentos confidenciales
  14. Organización y tecnología para monitorear la ejecución de documentos confidenciales
  15. Propagación de documentos
  16. Destrucción de documentos
  17. ELABORACIÓN Y REGISTRO DE UNA NOMENCLATURA DE CASOS CLASIFICADOS “CONFIDENCIALES”
  18. FORMACIÓN Y REGISTRO DE CASOS
  19. COMPROBACIÓN DE LA DISPONIBILIDAD DE DOCUMENTOS CONFIDENCIALES.
  20. PREPARACIÓN DE DOCUMENTOS CONFIDENCIALES PARA ALMACENAMIENTO DE ARCHIVO
  21. PROCEDIMIENTO PARA LA TRANSFERENCIA DE DOCUMENTOS CONFIDENCIALES AL ARCHIVO
  22. APÉNDICES

Protección de La CI es uno de los factores más importantes para crear los requisitos previos para la existencia estable y el desarrollo progresivo de una organización.

Las principales condiciones para garantizar la seguridad de la información de una organización en el contexto del enfoque previsto para resolver los problemas de protección de CI son:

  • construir modelos de atacantes y competidores basados ​​en la búsqueda y autenticación de información sobre sus intenciones y aspiraciones;
  • definir una lista de información que constituye el objeto de proteger los intereses de la empresa en áreas específicas de sus actividades;
  • formación de la estructura del sistema de protección de CI preferido por la preocupación basada en la síntesis, optimización estructural y evaluación técnica y económica de opciones alternativas para CICP;
  • gestionar el proceso de implementación del plan elegido para la protección de los CI y coordinar el trabajo de organización de la protección de los CI entre todas las divisiones estructurales interesadas de la organización;
  • combinar medidas organizativas y administrativas para proteger la CI con la participación activa de todo el personal de la organización en este proceso;
  • introducción de responsabilidad personal (incluido el material) de los funcionarios de todos los niveles, así como de otros empleados de la empresa admitidos en la CI, para garantizar el régimen de confidencialidad establecido en la JSC.

Los documentos anteriores se desarrollaron teniendo en cuenta los requisitos generales para el contenido y formato de dichos documentos.

Puedes recibir documentos desarrollados por el autor; para ello, basta con enviarme una solicitud de dichas instrucciones por correo electrónico, indicando el nombre de la organización, área de actividad).

Stolyarov Nikolay Vladimirovich
nstolyarov@yandex.ru

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять