Содержание
1. Введение
2. Защитаинформации при работе с посетителями
3. Заключение
4. Списоклитературы
Введение
Организация приема посетителей имеет не только общеизвестный наборфункций, но и другую, менее изученную, но актуальную сторону, затрагивающуюсферу обеспечения информационной безопасности деятельности фирмы при работе спосетителями.
Профессионализм персонала фирмы предполагает сочетание уменияорганизовать эффективную и полезную для фирмы работу с посетителями иодновременно выполнить ее таким образом, чтобы были сохраненыконфиденциальность и целостность ценной информации, достигнута безопасностьдеятельности фирмы.
Под посетителем понимается, во-первых, лицо, которому необходиморешить определенный круг деловых или личных вопросов с руководителями именеджерами фирмы, и, во-вторых, лицо, совместно с которым полномочные лицавырабатывают определенные решения по направлениям деятельности фирмы.Посетители не только по определению, но и по существу представляют собойсложный и неоднозначный круг людей, что требует прежде всего грамотного решениявопросов защиты ценной, в том числе конфиденциальной, информации от угроз,которые могут создать ей посетители.
Поэтому организацию приема посетителей и контроль за работой сними целесообразно централизовать на уровне референта или секретаря-референтапервого руководителя фирмы. Работа именно этого сотрудника фирмы в наибольшейстепени связана с 'посетителями и требует грамотного подхода к ее выполнению.
Защита информации при работе с посетителями
Процесс защиты информации при приеме посетителей предполагаетпроведение четкой их классификации, на базе которой формируется системаограничительных, технологических, контрольных и аналитических мер, призванныхне допустить несанкционированный доступ к ним посетителей. Эти меры позволяюттакже в определенной степени гарантировать физическую безопасность сотрудников,работающих с посетителями.
Прием посетителей и установление с ними деловых взаимоотношений – достаточносложный процесс для руководителей фирмы и ее структурных подразделений(направлений деятельности), специалистов-менеджеров. На уровне руководителейфирмы посетителей можно разделить на две категории: сотрудники фирмы ипосетители, не являющиеся ее сотрудниками.
К посетителям – сотрудникам фирмы относятся:
– сотрудники, имеющие право свободного входа в кабинетруководителя в любое время рабочего дня (заместители руководителя, референты,секретари);
– сотрудники, работающие с руководителем в режиме вызова илирешающие с ним деловые вопросы в часы приема по служебным делам (нижестоящиеруководители, эксперты, специалисты-менеджеры);
– сотрудники, инициирующие свой прием руководителем в часы приемапо личным вопросам.
Угрозы информационной безопасности, исходящие отпосетителей-сотрудников, могут наступить в случае, если эти сотрудники являютсязлоумышленниками (тайными представителями конкурирующих фирм, агентами службпромышленного или экономического шпионажа, криминальных структур) или ихсообщниками.
Состав угроз может быть самым разнообразным: от кражи документовсо стола руководителя до выведывания нужной информации с помощью хорошоподготовленного перечня на первый взгляд безобидных вопросов. Может случитьсятакже, что сотрудник, получивший при общении с руководителем больший объемценной информации, чем это необходимо ему для работы, разглашает еепостороннему лицу по причине элементарной безответственности.
Посетители, не являющиеся сотрудниками фирмы, в соответствии схарактером их взаимоотношений с фирмой могут подразделяться
– на лиц, не включенных в штат сотрудников, но входящих в качествечленов в коллективный орган управления деятельностью фирмы (акционеры, членыразличных советов и др.);
– представителей государственных учреждений и организаций, скоторыми фирма сотрудничает в соответствии с законом (работники различныхинспекций, муниципальных органов управления, правоохранительных органов и др.);
– сотрудничающих с фирмой физических лиц и представителейпредприятий и организаций, банков, рекламных агентств, торговыхпредставительств, средств массовой информации (клиенты, партнеры, коммерсанты,инвесторы, спонсоры, журналисты и др.);
– представителей иных государственных и негосударственныхструктур, с которыми фирма не имеет деловых отношений;
– частных лиц.
Перечисленные представители и лица должны находиться под особовнимательным контролем референта, так как если они относятся к категориизлоумышленников, спектр исходящей от них опасности крайне велик и определяетсятеми целями, которые перед ними поставлены.
Утрата информации может идти по организационным или техническимканалам или в сочетании того и другого. Например; шантаж руководителя и записьбеседы на диктофон, установка подслушивающего устройства, фотографированиедокументов на столе руководителя и др. Не исключено силовое воздействие наруководителя в целях получения нужных сведений.
На уровне руководителей подразделений и специалистов-менеджеровфирмы выделяются аналогичные группы посетителей, но в каждой категории и группепосетители делятся: 1) на направленных руководителем и 2) пришедших на приембез санкции руководителя.
При приеме руководителем фирмы любой из указанных категорий игрупп посетителей референту следует соблюдать следующие основные правилаорганизации приема. Руководитель не должен принимать посетителей во время,выделенное для творческой работы с документами и базами электронных данных,особенно конфиденциальными. При вызове кого-либо из менеджеров в связи с работойнад документом на столе руководителя должен находиться только тот документ, скоторым он работает, другие документы следует хранить в запертом сейфе илиметаллическом шкафу. Целесообразно, чтобы в это время в кабинет руководителяникто не заходил без вызова, в том числе и лица, имеющие право свободного входав кабинет.
В целях ограничения возможностей для злоумышленника получитьнеобходимые ему сведения за счет неупорядоченной организации трударуководителя, суеты в работе с документами и посетителями для приемапосетителей любых категорий следует выделить специальные часы, в течениекоторых руководитель не должен работать с документами, не относящимися к визитутого или иного лица, или вести деловые переговоры по телефону. Различныекатегории посетителей целесообразно принимать в разные часы.
Прежде всего, выделяется время для ежедневного приема нижестоящихруководителей и менеджеров фирмы по служебным вопросам. Во-вторых, выделяетсявремя для ежедневного приема посетителей, не являющихся сотрудниками фирмы, нопредставляющих ту или иную организационную структуру. В-третьих, отдельные часыприема выделяются в разные дни для частных (посторонних) лиц, которымнеобходимо решить вопрос, относящийся к компетенции руководителя. В часы приемауказанных категорий посетителей любые сотрудники фирмы могут посещатьруководителя только по вызову и только по вопросу, связанному с визитомконкретного посетителя. В-четвертых, периодически выделяются часы приемасотрудников фирмы по личным вопросам.
Посетители, в том числе сотрудники фирмы, не должны входить вкабинет руководителя в пальто, шубе или иметь при себе объемные кейсы,чемоданы, сумки – их следует оставлять в приемной.
Не допускается оставлять посетителя одного при выходе руководителяиз кабинета. Во время отсутствия руководителя никто из посетителей илиперсонала фирмы не должен входить в его кабинет.
Наиболее тщательно должна быть организована работа референта спосетителями, которые не являются сотрудниками фирмы. Следует учитывать, чтопосещение руководителя, как правило, является начальной стадией их визита вфирму. Другие стадии, в соответствии с решением руководителя, будут связаны спосещением нижестоящих руководителей и специалистов-менеджеров.
С точки зрения необходимости решения задач обеспечения информационнойбезопасности фирмы таких посетителей можно классифицировать следующим образом:
– по степени разрешенного им доступа в помещения фирмы: во всепомещения, только в определенные помещения, только к определенному сотруднику,только в операционный зал общего доступа;
– по степени разрешенного им ознакомления с информацией фирмы:только с рекламными изданиями, только с материалами, касающимисязаинтересованной структуры или лица, только с материалами по определенномувопросу, только с открытыми служебными материалами фирмы, только с конкретнымиконфиденциальными сведениями. Любые разрешительные действия в отношениипосетителей совершаются первым руководителем фирмы и контролируются приреализации службой безопасности.
Работа референта с посторонним посетителем состоит из следующихэтапов:
– подготовительный этап;
– идентификация и регистрация посетителя;
– организация приема посетителя руководителем;
– организация дальнейших действий посетителя.
Подготовительный этап предназначен для согласования возможности иусловий приема посетителя руководством или сотрудником фирмы. Визит, какправило, инициируется самим посетителем и должен быть заранее обсужден им потелефону, электронной почте или факсу с руководителем или референтом, а также сменеджером, если посетитель предполагает решить с ним возникший вопрос. Впроцессе согласования визита выясняются цель предполагаемого посещения фирмы,состав необходимых для ознакомления документов, дата и время посещения. Визит круководителю предполагает, что посетителю необходимо решить вопрос, входящий вкомпетенцию этого должностного лица, или при необходимости получить санкциюруководителя на выполнение определенной работы в подразделении фирмы иознакомление с документами, базами данных.
В других случаях посетителя следует направить кспециалисту-менеджеру, в компетенцию которого входит рассмотрение интересующегопосетителя вопроса. По результатам согласования уточняется должностное лицофирмы, которое вправе решить поставленный посетителем вопрос, корректируются датаи время визита. После согласования фамилия, иМя, отчество посетителя,наименование представляемой организационной структуры и указанные выше сведениявносятся в график приема посетителей фирмы.
Составление, уточнение и дополнение графика приема посетителейявляются обязанностью референта. График согласовывается референтом сруководителями и специалистами-менеджерами в начале предыдущего рабочего дня Онамеченном визите и часах приема напоминается будущему посетителю.
Ежедневное число посетителей должно соответствовать реальномувремени, отведенному руководителем или менеджером на этот вид работы. В часыприема каждой из категорий и групп посетителей важно четко определить периоднахождения каждого посетителя в приемной и кабинете руководителя или на рабочемместе менеджера, для чего устанавливаются очередность приема и предполагаемаяпродолжительность переговоров. Сложные и длительные по времени вопросыобсуждаются в первую очередь. Особенно четко должен регламентироваться приемлиц, не являющихся сотрудниками фирмы. Следует планировать прием таким образом,чтобы посетители длительное время не находились в приемной, так как подобныеожидания всегда сопровождаются подсознательным или умышленным прослушиваниемпереговоров в приемной, получением значительного объема ценной информации.Возможно фиксирование злоумышленником переговоров с помощью диктофона илиминиатюрной видеокамеры. Не допускается организовывать очередность приема путемобразования так называемой живой очереди.
График целесообразно формировать централизованно в виде единойсхемы, охватывающей посетителей руководства фирмы и структурных подразделений.Руководители подразделений и менеджеры обязаны ежедневно сообщать референту осогласованных с ними визитах посетителей для включения фамилий в график приема.Это позволяет обеспечить высокую достоверность включаемых в график сведений иконтролировать обоснованность визитов посетителей на уровне подразделенийфирмы. В помещениях фирмы не должны находиться посторонние лица, относящие себяк категории посетителей, хотя их визит не был согласован и зафиксирован вграфике приема.
На основании графика референт ежедневно в начале рабочего днясообщает сведения о посетителях и характере разрешенного им доступа к деламфирмы в службу безопасности для оформления пропусков. Пропуск может оформлятьсятолько по инициативе референта. Одновременно он напоминает сотрудникамструктурных подразделений фамилии посетителей, визит которых намечен на текущийдень, и время приема. При изменении даты визита необходимое исправлениевносится в график приема посетителей, а посетитель в обязательном порядкезаблаговременно информируется об этом. С ним согласовываются новая дата визитаи время.
Идентификация, т.е. установление соответствия личности посетителясведениям в графике приема и документе, удостоверяющем его личность,выполняется на двух уровнях: а) сотрудником службы безопасности при входе вздание фирмы и выдаче посетителю пропуска; б) референтом при входе посетителя вприемную руководителя фирмы. На первом уровне идентифицируются личностьпосетителя и соответствие фамилии, имени, отчества записи в переданномреферентом в службу безопасности перечне посетителей на конкретный день и час.
При входе в помещение фирмы (кроме операционного зала общегодоступа) посетитель обязан предъявить сотруднику службы безопасности паспортили служебное удостоверение, подтверждающие его личность (но не визитнуюкарточку). Особое внимание обращается на выявление подлинности предоставленногоперсонального документа и установление соответствия фотокарточки в этомдокументе внешним данным посетителя. После идентификации посетителю выдаетсяподготовленный заранее соответствующий визуальный идентификатор (пропуск),регламентирующий его права в помещениях фирмы. Перемещение посетителя в зданииосуществляется только в сопровождении работника фирмы – секретаря, менеджера, скоторым посетитель обговорил свой визит, сотрудника службы безопасности.
Все посетители фирмы, в том числе посетители структурныхподразделений, сначала направляются к референту с целью их идентификации ирегистрации. Войдя в приемную руководства фирмы, посетитель должен предъявитьреференту удостоверяющий его личность документ и предписание.
Идентификация посетителя на этом уровне предполагает проверкусоответствия его личности, места работы и должности сведениям, указанным вграфике приема. При возникновении каких-либо сомнений в личности посетителяреферент может уточнить сведения о нем в организации, которую представляетданное лицо (по телефону, факсу, электронной почте). Если сомнения неустранены, референт должен получить разрешение на доступ данного посетителя вкабинет руководителя или структурное подразделение от начальника службыбезопасности фирмы.
После завершения этапа идентификации референт на основепредоставленных документов вносит сведения о посетителе в традиционный илиэлектронный журнал учета (регистрации) посетителей.
Указываются: дата и время приема, фамилия, имя, отчествопосетителя, место работы и должность, наименование вопроса, исходные данныепредписания, фамилия сотрудника фирмы, ответственного за визит, принятоерешение. Группа посетителей, прибывшая для переговоров, регистрируетсяпофамильно. Записи делаются в журнале лично референтом. Не допускается, чтобыпосетитель знакомился со сведениями в графике приема и журнале регистрациипосетителей, так как информация, включаемая в эти учетные формы, являетсяконфиденциальной, раскрывающей деловые связи фирмы.
После регистрации посетители структурных подразделенийнаправляются по назначению в сопровождении встретивших их секретарей илименеджеров, а посетители руководителей фирмы остаются в приемной, и референтприступает к организации их приема руководителем. Ожидающий приема посетительдолжен находиться на значительном расстоянии от рабочих мест референта, секретаря-референта,секретаря, чтобы он не мог видеть документы, находящиеся на их столах, экрандисплея, прослушивать их переговоры по средствам связи. Холл для ожидающихприема посетителей может отделяться от рабочего места референта стекляннойтонированной перегородкой. При приеме посетителей референту не разрешаетсяпокидать помещение приемной даже на непродолжительное время. Переговоры сруководителем ведутся им по соответствующему коммуникативному устройству.
В период ожидания посетителем приема референту целесообразновнимательно наблюдать за его поведением, фиксировать возможные странности вдвижениях, излишнюю возбужденность и т.п. Под особым контролем референта должнанаходиться группа посетителей, ожидающих приема для переговоров по одномувопросу, например заключения контракта, получения согласия на выполнениеопределенной работы и др.
При возникновении каких-либо опасений референт должен: вызватьсотрудника службы безопасности, который будет присутствовать в кабинете прибеседе руководителя с посетителем или посетителями. Сотруднику этой службы неследует быть в традиционной униформе подразделения охраны, внешне он не долженотличаться от других работников фирмы. При приеме частных (иногда случайных)лиц руководитель может вести беседу не в рабочем кабинете, а в специальнопредназначенном для этого помещении, в присутствии сотрудника службыбезопасности. Переговоры руководителя с посетителем могут документироватьсясекретарем-стенографисткой или записываться на магнитный носитель с помощьюдиктофона, видеокамеры.
Посетитель – представитель другой организационной структуры – предъявляетруководителю предписание, в котором указываются его полномочия, цель и задачивизита в данную фирму, состав сведений и документов, которые ему необходимы дляознакомления или анализа.
Представление оформляется на бланке организации, подписываетсяпервым руководителем, подпись руководителя заверяется печатью. На предписаниируководитель фирмы пишет резолюцию, в которой дает разрешение посетителю навыполнение стоящих перед ним задач, устанавливает порядок и сроки его работы,регламентирует конкретный состав информации, к которой может быть допущенпосетитель, назначает сотрудника фирмы, функциональные обязанности которогосоответствуют цели визита посетителя, ответственным за работу с этим лицом.Руководитель имеет право не давать разрешения или ограничить характер работыпосетителя в фирме.
Устные пожелания посетителя, не имеющего предписания, и пожелания,не устраивающие руководителя, выполняться не должны. Прием посетителя илигруппы посетителей может иметь форму переговоров, например о поставкахпродукции, финансовой помощи, совместных исследованиях и по другим вопросам.
В переговорах могут участвовать сотрудники фирмы, состав которыхбыл заранее определен и внесен в график приема. Ход переговоров обычнофиксируется секретарем-стенографисткой. Прием посетителей (групп посетителей,делегаций) может также иметь форму экскурсий по фирме (предприятию) с цельюознакомления с возможностями фирмы и применяемыми прогрессивными технологиями.В этом случае заблаговременно определяются маршрут движения группы, составобъектов для ознакомления, готовится и издается иллюстративный материал(проспекты, видеофильмы, Web-страницы на дискетах и др.). Программа пребываниягруппы посетителей на территории фирмы (предприятия) должна сочетатьмаксимальное гостеприимство и высокую степень ограничения в передачепосетителям дозированной информации о производственных и деловых процессах.Лаборатории, исследовательские центры демонстрироваться посетителям не должны.По окончании приема руководителем референт организует дальнейшие действияпосетителя: или посетитель в сопровождении сотрудника службы безопасностинаправляется к выходу из здания, или секретарь-референт вызывает в приемнуюсекретаря руководителя подразделения фирмы либо специалиста-менеджера, ккоторым посетитель направлен для решения важных для него задач, в том числесодержащихся в предписании. Референт вносит необходимое дополнение впропуск-идентификатор посетителя, заверяя сделанную запись штампом приемной.Соответствующая запись делается в журнале регистрации посетителей. Принеобходимости референт предупреждает посетителя 0 недопустимости разглашенияполученных во время визита сведений. Целесообразно, чтобы посетитель подписалписьменное обязательство о сохранении в гайне секретов фирмы. Одновременнореферент напоминает руководителю подразделения или менеджеру о порядкепредоставления посетителю минимально необходимого состава документов исведений.
Предписание передается референтом лицу, сопровождающемупосетителя, для использования в работе и включения в дело; посетителю оно невозвращается. При отрицательном решении руководителя предписание передается имреференту для включения в соответствующее дело.
Сведения о посетителях, работа которых в здании фирмы будетпродолжаться несколько дней или во внерабочее время, вносятся референтом вспециальный журнал учета работы посетителей. Одновременно эти сведениясообщаются в службу безопасности для выдачи посетителю необходимогопропуска-идентификатора и контроля за его пребыванием в здании фирмы. В журналеслужбы безопасности ежедневно делаются отметки о времени прихода и уходапосетителя.
По истечении часов приема посетителей любой категории кабинетруководителя осматривается сотрудником службы безопасности в присутствииреферента с целью обнаружения забытых посетителями вещей, документов, выявлениявозможно установленный'.х посетителями подслушивающих и записывающих устройств,взрывных, химических и самовозгорающихся материалов и т.п.
В подразделениях фирмы соблюдается в целом тот же порядок приема иработы с посетителями. Посетителю, направленному в подразделение вышестоящимруководителем, с учетом занятости руководителя подразделения или менеджераможет быть назначен другой день приема. Однако более правильно организоватьработу посетителя таким образом, чтобы в течение одного визита в фирму он смогрешить все необходимые задачи.
Посетитель может быть допущен только к тем документам, сведениям,которые указаны в предписании и работа с которыми ему разрешена в резолюциируководителя. Ознакомление с документами осуществляется в присутствиисотрудника подразделения, назначенного в резолюции ответственным за выполнениепосетителем порученного ему задания.
Записи и выписки из документов, которые делает посетитель, могутвыполняться на учтенном референтом носителе и затем пересылаться с курьером поместу работы посетителя. Факт ознакомления посетителя с любым конфиденциальнымили открытым документом фирмы фиксируется в учетной форме этого документа. На самомдокументе посетитель ставит визу ознакомления, расшифровку росписи,наименование организации и дату. Не разрешается знакомить посетителя сдокументами и другими информационными ресурсами фирмы, даже если они связаны сцелью его визита, без письменной санкции первого руководителя фирмы. В устныхбеседах с посетителем запрещается сообщать ему открытые или конфиденциальныесведения, которые не оговорены в резолюции руководителя, делать намек наналичие таких сведений.
Все перемещения посетителя в здании фирмы осуществляются в строгомсоответствии с выданным ему идентификатором, желательно в сопровождениименеджера или секретаря. Наблюдение за передвижением и работой посетителя можетбыть организовано с помощью видеокамер. Бесконтрольное пребывание посетителя вздании фирмы не допускается. Посетители, нарушившие правила работы синформационными ресурсами фирмы, замеченные в попытке проникновения в другиепомещения фирмы или несанкционированного получения ценных сведений у персонала,лишаются права дальнейшего пребывания в здании фирмы. По окончании работы вструктурном подразделении посетитель покидает здание в сопровождении сотрудникаслужбы безопасности. При выходе посетитель сдает идентификатор (пропуск).
Посетитель-злоумышленник, получивший доступ в здание фирмы, можетиспользовать его в криминальных целях, для создания определенной, выгодной емуэкстремальной ситуации.
В числе основных видов подобных ситуаций, которые можетпровоцировать посетитель, следует назвать следующие: поджог или задымлениепомещений с целью ограбления, овладения документами, делами, личными вещамисотрудников, захват сотрудников в заложники, угроза физического насилия с цельювыведать у сотрудника нужные сведения, получить документы, материальныеценности и др. Самостоятельная ликвидация указанных экстремальных ситуацийсилами работников службы безопасности не разрешается, так как требуетспециальных знаний, умений и осуществляется правоохранительными ипротивопожарными органами.
Чтобы предотвратить возникновение по Вине посетителей той или инойэкстремальной ситуации, персонал фирмы должен неукоснительно соблюдатьуказанные выше требования безопасности при приеме посетителей и работе с ними,Всегда целесообразнее предупредить экстремальную ситуацию, чем ликвидировать еепоследствия. Важно, чтобы персонал фирмы был заблаговременно обучен выполнениюнеобходимых действий в случае возникновения конкретной. экстремальной ситуации.У каждого сотрудника должна сложиться система устойчивых стереотипов(мотиваций) поведения в неординарных условиях.
Разработка системы противодействия злоумышленнику и обучениесотрудников возлагаются на службу безопасности. Система предусматриваетклассификацию экстремальных ситуаций для конкретной фирмы, систематическоепроведение учебных занятий для должностных групп персонала, работающих спосетителями, обучение нормам поведения в том или ином случае, разработку схемыоповещения персонала об опасности и вступлении в действие плана эвакуациидокументов, дел, ценного оборудования, разработку схемы оповещения правоохранительныхи противопожарных органов и служб, схемы эвакуации персонала в безопасную зонуи др.
Заключение
Обучение персонала должно включать изучение нормативных и плановыхдокументов, решение ситуационных задач и проведение регулярных деловых игр.Большое значение имеет не только наличие необходимых нормативных и плановыхдокументов, схем, программ обучения и инструктирования сотрудников, но иинженерно-техническое обеспечение действий персонала.
Здесь следует отметить необходимость функционирования в зданиифирмы современных средств оповещения: о возгораниях, задымлении, нападении насотрудника и т.п. Например, при приеме посетителей руководитель и референтдолжны располагать исправной сигнализацией для вызова сотрудника службыбезопасности или оповещения зтой службы о нападении. Устройство включениясигнализации должно находиться в доступном и скрытом от злоумышленника местерабочего стола или на полу.
Следовательно, разработка и использование в практическойдеятельности любой фирмы эффективной системы обеспечения информационнойбезопасности в процессе приема и работы с посетителями являются одной из важныхчастей системы защиты ценной информации, охраны материальных ценностей фирмы,жизни и здоровья ее персонала.
Список литературы
1. МельниковВ. Защита информации в компьютерных системах. М.: Финансы и статистика,Электронинформ, 1997
2. Мафтик С.Механизмы защиты в сетях ЭВМ. /пер. с англ. М.: МИР, 1993.
3. Петров В.А., Пискарев С.А.,Шеин А.В. Информационная безопасность. Защита информации отнесанкционированного доступа в автоматизированных системах. – М., 1998.
4. Марченко Д.Н. Простийекономний охоронний пристрій // Радюаматор. – 2000. – №9.
5. Спесивцев А.В.и др. Защита информации в персональных ЭВМ. – М.: Радио и связь, 1993.
6. Гмурман А.И. Информационнаябезопасность. М.: «БИТ-М», 2004 г.