НЕКОТОРЫЕ ПОДХОДЫ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ РАБОТЕ С ПОСЕТИТЕЛЯМИ

[31]

Аннотация. Посетители представляют собой сложный и неоднозначный круг людей, что требует грамотного решения вопросов защиты ценной информации от угроз, которые они могут создать. Процесс защиты информации при приеме посетителей предполагает формирование системы ограничительных, технологических, контрольных и аналитических мер, призванных не допустить несанкционированный доступ к информации. Разработка и использование в практической деятельности любой фирмы эффективной подсистемы обеспечения информационной безопасности в процессе приема и работы с посетителями является одной из важных частей системы защиты ценной информации, охраны материальных ценностей фирмы, жизни, и здоровья ее персонала.

Ключевые слова. Информационная безопасность, работа с посетителями, угрозы информационной безопасности, обеспечение информационной безопасности при работе с посетителями.

Организация приема посетителей имеет не только общеизвестный набор функций [1], но и другую менее изученную, но актуальную сторону, затрагивающую сферу обеспечения информационной безопасности деятельности фирмы при работе с посетителями. Под посетителем понимается, во-первых, лицо которому необходимо решить определенный круг деловых или личных вопросов с руководителями и менеджерами фирмы, и, во-вторых, лицо, совместно с которым полномочные лица вырабатывают определенные решения по направлениям деятельности фирмы [2]. Посетители представляют собой сложный и неоднозначный круг людей, что требует грамотного решения вопросов защиты ценной информации от угроз, которые они могут создать. Поэтому организацию приема посетителей и контроль за работой с ними целесообразно централизовать на уровне референта или секретаря-референта первого руководителя фирмы. Работа именно этого сотрудника фирмы в наибольшей степени связана с посетителями и требует грамотного подхода к ее выполнению.

Процесс защиты информации при приеме посетителей предполагает формирование системы ограничительных, технологических, контрольных и аналитических мер, призванных не допустить несанкционированный доступ к информации.

Прием посетителей и установление с ними деловых взаимоотношений достаточно сложный процесс для руководителей фирмы и ее структурных подразделений, специалистов-менеджеров [3]. На уровне руководителей фирмы посетителей можно разделить на две категории: сотрудники фирмы и посетители, не являющиеся ее сотрудниками.

К посетителям – сотрудникам фирмы относятся:

· сотрудники, имеющие право свободного входа в кабинет руководителя в любое время рабочего дня (заместители руководителя, референты, секретари);

· сотрудники, работающие с руководителем в режиме вызова или решающие с ним деловые вопросы в часы приема по служебным делам (нижестоящие руководители, эксперты, специалисты-менеджеры);

· сотрудники, инициирующие свой прием руководителем в часы приема по личным вопросам.

Угрозы информационной безопасности, исходящие от посетителей-сотрудников, могут наступить в случае если эти сотрудники являются злоумышленниками (тайными представителями конкурирующих фирм, агентами служб промышленного или экономического шпионажа, криминальных структур) или их сообщниками. Состав угроз может быть самым разнообразным: от кражи документов со стола руководителя до выведывания нужной информации с помощью хорошо подготовленного перечня, на первый взгляд, безобидных вопросов. Может случиться также, что сотрудник, получивший при общении с руководителем больший объем ценной информации, чем это необходимо ему для работы, разглашает ее постороннему лицу по причине элементарной безответственности.

Посетители, не являющиеся сотрудниками фирмы, в соответствии с характером их взаимоотношений с фирмой могут подразделяться на:

· лиц, не включенных в штат сотрудников, но входящих в качестве членов в коллективный орган управления деятельностью фирмы (акционеры, члены различных советов и др.);

· представителей государственных учреждений и организаций, с которыми фирма сотрудничает в соответствии с законом (работники различных инспекций, муниципальных органов управления, правоохранительных органов и др.);

· сотрудничающих с фирмой физических лиц и представителей предприятий и организаций, банков, рекламных агентств, торговых представительств, средств массовой информации (клиенты, партнеры, коммерсанты, инвесторы, спонсоры, журналисты и др.);

· представителей иных государственных и негосударственных структур, с которыми фирма не имеет деловых отношений;

· частных лиц.

Перечисленные, представители и лица должны находиться под особо внимательным контролем референта, так как если они относятся к категории злоумышленников, спектр исходящей от них опасности крайне велик и определяется теми целями, которые перед ними поставлены. Утрата информации может идти по организационным или техническим каналам или в сочетании того и другого. Например: шантаж руководителя и запись беседы на диктофон, установка подслушивающего устройства, фотографирование документов на столе руководителя и др. Не исключено силовое воздействие на руководителя в целях получения нужных сведений.

На уровне руководителей подразделений и специалистов-менеджеров фирмы выделяются аналогичные группы посетителей, но в каждой категории и группе посетители делятся на: направленных руководителем; пришедших на прием без санкции руководителя.

При приеме руководителем фирмы любой из указанных категорий и групп посетителей референту, следует соблюдать следующие основные правила организации приема. Руководитель не должен принимать посетителей во время, выделенное для творческой работы с документами и базами электронных данных, особенно конфиденциальными. При вызове кого-либо из сотрудников в связи с работой над документом, на столе руководителя должен находиться только тот документ, с которым он работает, другие документы следует хранить в запертом сейфе. Целесообразно, чтобы в это время в кабинет руководителя никто не заходил без вызова.

В целях ограничения возможностей для злоумышленника получить необходимые ему сведения за счет неупорядоченной организации труда руководителя, суеты в работе с документами и посетителями для приема посетителей любых категорий следует выделить специальные часы, в течение которых руководитель не должен работать с документами, не относящимися к визиту того или иного лица, или вести деловые переговоры по телефону. Различные категории посетителей целесообразно принимать в разные часы.

Прежде всего, выделяется время для ежедневного приема нижестоящих руководителей и менеджеров фирмы по служебным вопросам. Во-вторых, выделяется время для ежедневного приема посетителей, не являющихся сотрудниками фирмы, но представляющих ту или иную организационную структуру. В-третьих, отдельные часы приема выделяются в разные дни для частных (посторонних) лиц, которым необходимо решить вопрос, относящийся к компетенции руководителя. В часы приема указанных категорий посетителей любые сотрудники фирмы могут посещать руководителя только по вызову и только по вопросу, связанному с визитом конкретного посетителя. В-четвертых, периодически выделяются часы приема сотрудников фирмы по личным вопросам.

Посетители, в том числе сотрудники фирмы, не должны входить в кабинет руководителя в пальто, шубе или иметь при себе объемные кейсы, чемоданы, сумки - их следует оставлять в приемной.

Не допускается оставлять посетителя одного при выходе руководителя из кабинета. Во время отсутствия руководителя никто из посетителей или персонала фирмы не должен входить в его кабинет.

Наиболее тщательно должна быть организована работа референта с посетителями, которые не являются сотрудниками фирмы. Следует учитывать, что посещение руководителя, как правило, является начальной стадией их визита в фирму. Другие стадии, в соответствии с решением руководителя, будут связаны с посещением нижестоящих руководителей и специалистов-менеджеров. С точки зрения необходимости решения задач обеспечения информационной безопасности фирмы, таких посетителей можно классифицировать следующим образом:

· по степени разрешенного им доступа в помещения фирмы: во все помещения, только в определенные помещения, только к определенному сотруднику, только в операционный зал общего доступа;

· по степени разрешенного им ознакомления с информацией фирмы: только с рекламными изданиями, только с материалами, касающимися заинтересованной структуры или лица, только с материалами по определенному вопросу, только с открытыми служебными материалами фирмы, только с конкретными конфиденциальными сведениями.

Любые разрешительные действия в отношении посетителей совершаются первым руководителем фирмы и контролируются при реализации службой безопасности.

Работа референта с посторонним посетителем состоит из следующих этапов:

· подготовительный этап;

· идентификация и регистрация посетителя;

· организация приема посетителя руководителем;

· организация дальнейших действий посетителя.

Подготовительный этап предназначен для согласования возможности и условий приема посетителя руководством или сотрудником фирмы. Визит, как правило, инициируется самим посетителем и должен быть заранее обсужден им по телефону, электронной почте или факсу с руководителем или референтом, а также с менеджером, если, посетитель предполагает решить с ним возникший вопрос. В процессе согласования визита выясняется цель предполагаемого посещения фирмы, состав необходимых для ознакомления документов, дата и время посещения. Визит к руководителю предполагает, что посетителю необходимо решить вопрос, входящий в компетенцию этого должностного лица, или при необходимости получить санкцию руководителя на выполнение определенной работы в подразделении фирмы и ознакомление с документами, базами данных. В других случаях посетителя следует направить к специалисту-менеджеру, в компетенции которого входит рассмотрение интересующего посетителя вопроса.

По результатам согласования уточняется должностное лицо фирмы, которое вправе решить поставленный посетителем вопрос, корректируются дата и время визита. После согласования фамилия, имя, отчество посетителя, наименование представляемой организационной структуры и указанные выше сведения вносятся в график приема посетителей фирмы. Составление, уточнение и дополнение графика приема посетителей является обязанностью референта.

Ежедневное число посетителей должно соответствовать реальному времени, отведенному руководителем или менеджером на этот вид работы. В часы приема каждой из категорий и групп посетителей важно четко определить период нахождения каждого посетителя в приемной и кабинете руководителя или на рабочем месте менеджера, для чего устанавливаются очередность приема и предполагаемая продолжительность переговоров. Сложные и длительные по времени вопросы обсуждаются в первую очередь. Особенно четко должен регламентироваться прием лиц, не являющихся сотрудниками фирмы. Следует планировать прием таким образом, чтобы посетители длительное время не находились в приемной, так как подобные ожидания всегда сопровождаются подсознательным или умышленным прослушиванием переговоров в приемной, получением значительного объема ценной информации. Возможно фиксирование злоумышленником переговоров с помощью диктофона или миниатюрной видеокамеры. Не допускается организовывать очередность приема путем образования так называемой «живой очереди».

График целесообразно формировать централизованно в виде единой схемы, охватывающей посетителей руководства фирмы и структурных подразделений. Руководители подразделений и менеджеры обязаны ежедневно сообщать референту о согласованных с ними визитах посетителей для включения фамилий в график приема.

На основании графика референт ежедневно в начале рабочего дня сообщает сведения о посетителях и характере разрешенного из доступа к делам фирмы в службу безопасности для оформления пропусков. Пропуск может оформляться только по инициативе референта. Одновременно он напоминает сотрудникам структурных подразделений фамилии посетителей, визит которых намечен на текущий день, и время приема.

Идентификация, т.е. установление соответствия личности посетителя сведениям в графике приема и документе, удостоверяющем его личность, выполняется на двух уровнях:

· сотрудником службы безопасности при входе в здание фирмы и выдаче посетителю пропуска;

· референтом при входе посетителя в приемную руководителя фирмы.

На первом уровне идентифицируется личность посетителя и соответствие фамилии, имени, отчества записи в переданном референтом в службу безопасности перечне посетителей на конкретный день и час. При входе в помещение фирмы (кроме операционного зала общего доступа) посетитель обязан предъявить сотруднику службы безопасности паспорт или служебное удостоверение, подтверждающие его личность (но не визитную карточку). Особое внимание обращается на выявление подлинности предоставленного персонального документа и установление соответствия фотокарточки в этом документе внешним данным посетителя. Поле идентификации посетителю выдается подготовленный заранее соответствующий визуальный идентификатор (пропуск), регламентирующий его права в помещениях фирмы. Перемещение посетителя в здании осуществляется только в сопровождении работника фирмы – секретаря, менеджера, с которым посетитель обговорил свой визит, сотрудника службы безопасности.

Все посетители фирмы, в том числе посетители структурных подразделений, сначала направляются к референту с целью их идентификации и регистрации. Войдя в приемную руководства фирмы, посетитель должен предъявить референту удостоверяющий его личность документ и предписание. Идентификация посетителя на этом уровне предполагает проверку соответствия его личности, места работы и должности сведениям, указанным в графике приема. При возникновении каких-либо сомнений в личности посетителя референт может уточнить сведения о нем в организации, которую представляет данное лицо. Если сомнения не устранены, референт должен получить разрешение на доступ данного посетителя от начальника службы безопасности фирмы.

После завершения этапа идентификации референт на основе предоставленных документов вносит сведения о посетителе в традиционный или электронный журнал учета (регистрации) посетителей. Указываются: дата и время приема, фамилия, имя, отчество посетителя, место работы и должность, наименование вопроса, исходные данные предписания, фамилия сотрудника фирмы ответственного за визит, принятое решение. Группа посетителей, прибывшая для переговоров, регистрируется пофамильно. Записи делаются в журнале лично референтом. Не допускается, чтобы посетитель знакомился со сведениями в графике приема и журнале регистрации посетителей, так как информация, включаемая в эти учетные формы, является конфиденциальной, раскрывающей деловые связи фирмы.

После регистрации посетители структурных подразделений направляются по назначению в сопровождении встретивших их секретарей или менеджеров, а посетители руководителей фирмы остаются в приемной, и референт приступает к организации их приема руководителем. Ожидающий приема посетитель должен находиться на значительном расстоянии от рабочих мест референта, секретаря-референта, секретаря, чтобы он не мог видеть документы, находящиеся на их столах, экран дисплея; прослушивать их переговоры по средствам связи. Холл для ожидающих приема посетителей может отделяться от рабочего места референта стеклянной тонированной перегородкой. При приеме посетителей референту не разрешается покидать помещение приемной даже на непродолжительное время. Переговоры с руководителем ведутся им по коммуникативному устройству.

В период ожидания посетителем приема референту целесообразно внимательно наблюдать за его поведением, фиксировать возможные странности в движениях, излишнюю возбужденность и т.п. Под особым контролем референта должна находиться группа посетителей, ожидающих приема для переговоров по одному вопросу, например заключение контракта, получение согласия на выполнение определенной работы и др. При возникновении каких-либо опасений референт должен вызвать сотрудника службы безопасности, который будет присутствовать в кабинете при беседе руководителя с посетителем или посетителями. Сотруднику этой службы не следует быть в традиционной униформе подразделения охраны, внешне он не должен отличаться от других работников фирмы. При приеме частных (иногда случайных) лиц руководитель может вести беседу не в рабочем кабинете, а в специально предназначенном для этого помещении, в присутствии сотрудника службы безопасности. Переговоры руководителя с посетителем могут документироваться секретарем-стенографисткой или записываться на магнитный носитель с помощью диктофона, видеокамеры.

Посетитель – представитель другой организационной структуры предъявляет руководителю предписание, в котором указываются его полномочия, цель и задачи визита в данную фирму, состав сведений и документов, которые ему необходимы для ознакомления или анализа. Представление оформляется на бланке организации, подписывается первым руководителем, подпись руководителя заверяется печатью. На предписании руководитель фирмы пишет резолюцию, в которой дает разрешение посетителю на выполнение стоящих перед ним задач, устанавливает порядок и сроки его работы, регламентирует конкретный состав информации, к. которой может быть допущен посетитель, назначает сотрудника фирмы, функциональные обязанности которого соответствуют цели визита посетителя, ответственным за работу с этим лицом. Руководитель имеет право не давать разрешения или ограничить характер работы посетителя в фирме. Устные пожелания посетителя, не имеющего предписания, и пожелания, не устраивающие руководителя, выполняться не должны.

Прием посетителя или группы посетителей может иметь форму переговоров. В них могут участвовать сотрудники фирмы, состав которых был заранее определен и внесен в график приема. Ход переговоров обычно фиксируется секретарем-стенографисткой. Прием посетителей (групп посетителей, делегаций) может также иметь форму экскурсий по фирме (предприятию). В этом случае заблаговременно определяется маршрут движения группы, состав объектов для ознакомления, готовится и издается иллюстративный материал. Программа пребывания группы посетителей на территории фирмы (предприятия) должна сочетать максимальное гостеприимство и высокую степень ограничения в передаче посетителям дозированной информации о производственных и деловых процессах. Лаборатории, исследовательские центры демонстрироваться посетителям не должны.

По окончании приема руководителем референт организует дальнейшие действия посетителя: или посетитель в сопровождении сотрудника службы безопасности направляется к выходу из здания, или секретарь-референт вызывает в приемную секретаря руководителя подразделения фирмы или специалиста-менеджера, к которым посетитель направлен для решений важных для него задач, в том числе содержащихся в предписании. Референт вносит необходимое дополнение в пропуск-идентификатор посетителя, заверяя сделанную запись штампом приемной. Соответствующая запись делается в журнале регистрации посетителей. При необходимости референт предупреждает посетителя о недопустимости разглашения полученных во время визита сведений. Одновременно референт напоминает руководителю подразделения или менеджеру о порядке предоставления посетителю минимально необходимого состава документов и сведений. Предписание передается референтом лицу, сопровождающему посетителя, для использования в работе и включения в дело; посетителю оно не возвращается. При отрицательном решении руководителя предписание передается им референту для включения в соответствующее дело.

Сведения о посетителях, работа которых в здании фирмы будет продолжаться несколько дней или во внерабочее время, вносятся референтом в специальный журнал учета работы посетителей. Одновременно эти сведения сообщаются в службу безопасности для выдачи посетителю необходимого пропуска-идентификатора и контроля за его пребыванием в здании фирмы. В журнале службы безопасности ежедневно делаются отметки о времени прихода и ухода посетителя.

По истечении часов приема посетителей любой категории кабинет руководителя осматривается сотрудником службы безопасности в присутствии референта с целью обнаружения забытых посетителями вещей, документов, выявления возможно установленных посетителями подслушивающих и записывающих устройств, взрывных, химических и самовозгорающихся материалов и т.п.

В подразделениях фирмы соблюдается тот же порядок приема и работы с посетителями. Следует так организовать работу посетителя таким образом, чтобы в течение одного визита в фирму он смог решить все необходимые задачи.

Посетитель может быть допущен только к тем документам, сведениям, которые указаны в предписании и работа с которыми ему разрешена. Ознакомление с документами осуществляется в присутствии сотрудника подразделения, назначенного в резолюции ответственным за выполнение посетителем порученного ему задания. Записи и выписки из документов, которые делает посетитель, могут выполняться на учтенном референтом носителе и затем пересылаться с курьером по месту работы посетителя. Факт ознакомления посетителя с любым конфиденциальным или открытым документом фирмы фиксируется в учетной форме этого документа. На самом документе посетитель ставит визу ознакомления, расшифровку росписи, наименование организации и дату. Не разрешается знакомить посетителя с документами и другими информационными ресурсами без письменной санкции первого руководителя фирмы. В устных беседах с посетителем запрещается сообщать ему сведения, которые не оговорены в резолюции руководителя, делать намек на их наличие.

Все перемещения посетителя в здании фирмы осуществляются в строгом соответствии с выданным ему идентификатором, желательно – в сопровождении менеджера или секретаря. Наблюдение за передвижением и работой посетителя может быть организовано с помощью видеокамер. Бесконтрольное пребывание посетителя в здании фирмы не допускается. Посетители, нарушившие правила работы с информационными ресурсами фирмы, замеченные в попытке несанкционированного проникновения в другие помещения фирмы или получения сведений у персонала, лишаются права дальнейшего пребывания в фирме. По окончании работы в подразделении посетитель покидает здание в сопровождении сотрудника службы безопасности. При выходе посетитель сдает идентификатор (пропуск).

Следовательно, разработка и использование в практической деятельности любой фирмы эффективной подсистемы обеспечения информационной безопасности в процессе приема и работы с посетителями является одной из важных частей системы защиты ценной информации, охраны материальных ценностей фирмы, жизни, и здоровья ее персонала.

Литература

1. Рогожкин М.Ю. Управление персоналом. – М.: ИндексМедиа, 2007.

2. Убушаева Б.Г., Даганова Н.Б. К вопросу социально-экономической сущности региональной инфраструктуры // Вестник университета (Государственный университет управления). – М.: ГУУ, 2013. – №8. – С.105-109.

3. Ярочкин В.И. Информационная безопасность. – М.: Академический Проект, 2006.

И.В. Незамайкин

Поиск по сайту: