Защита конфиденциальной информации на предприятии
Разрешительная
(разграничительная) система доступа в сфере коммерческой тайны представляет собой
совокупность правовых норм и требований, устанавливаемых первым руководителем или
коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления
и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для
выполнения служебных обязанностей.
Разрешительная система
включает в себя две составные части: допуск сотрудника к конфиденциальной информации
и непосредственный доступ этого сотрудника к конкретным сведениям.
Под допуском понимается
процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям
(информации) ограниченного распространения и одновременно правовой акт согласия
(разрешения) собственника (владельца) информации на передачу ее для работы конкретному
лицу (77, с.58).
Оформление допуска,
т.е. согласия лица на определенные ограничения в использовании информации, всегда
носит добровольный характер. Наличие допуска предоставляет сотруднику формальное
право работать со строго определенным кругом конфиденциальных документов, баз данных
и отдельных сведений.
Как отмечалось выше,
к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме
определенное время и зарекомендовавшие себя с положительной стороны.
В предпринимательских
структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется
соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться
приказом первого руководителя с указанием типового состава сведений, с которыми
разрешается работать данному сотруднику или группе сотрудников. Допуск может носить
временный характер на период выполнения определенной работы и пересматриваться при
изменении профиля работы сотрудника.
Доступ - практическая
реализация каждым сотрудником предоставленного ему допуском права на ознакомление
и работу с определенным составом конфиденциальных сведений, документов и баз данных
(33).
Особенность информационного
обслуживания потребителей конфиденциальной информации заключается в том, что вопросы
определения состава необходимой им информации решаются полномочным руководителем,
а не самими потребителями. Существует общее, обязательное правило: исполнители,
которым документ не адресован руководителем, не только не имеют права доступа к
нему, но и не должны знать о существовании такого документа и исходных данных о
нем.
Структура процедуры
разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность
доступа к информации реализуется по принципу "чем выше уровень доступа,
тем уже круг допущенных лиц", "чем выше ценность сведений, тем меньшее
число сотрудников может их знать".
Формы письменной
индивидуальной регламентации разрешения на доступ - резолюции, перечни, списки,
матрицы и т.п. В фирме может составляться схема выдачи разрешений на доступ к массовой
конфиденциальной информации. Такая схема разрабатывается с учетом двух аспектов:
а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений
в зависимости от занимаемой должности. Графы схемы: категории документов, должностные
лица, дающие разрешение, категории исполнителей, кому дается разрешение. В схеме
отражаются также категории документов, с которыми знакомятся определенные категории
исполнителей без специального разрешения (40, с.125).
Может составляться
матрица полномочий, в которой по горизонтали - наименования категорий документов,
по вертикали - фамилии или должности сотрудников.
Всю конфиденциальную
информацию фирмы может знать только первый руководитель фирмы. Конфиденциальная
информация по конкретной работе в полном объеме вправе получать лишь соответствующий
заместитель первого руководителя, руководители структурных подразделений или направлений
деятельности по специальному перечню, утвержденному первым руководителем.
При составлении
конфиденциальных документов следует учитывать, что его содержание не только определяет
функциональное назначение документа, но и лежит в основе разрешительной процедуры
доступа персонала к данному документу. Поэтому документ необходимо посвящать только
одной тематической группе вопросов, предназначенной, по возможности, одному конкретному
исполнителю или структурному подразделению
Необходимо добиваться
минимизации для персонала привилегий по доступу к информации. При сбое в системе
зашиты информации или обнаружении факта утраты информации должно мгновенно вводиться
ограничение на доступ или прекращение доступа к любой конфиденциальной информации
до окончания служебного расследования.
Разграничение доступа
основывается на однозначном расчленении информации по тематическим группам, уровням
конфиденциальности этих групп и пользователям, которым эта информация необходима
для работы Задачей процедуры разграничения доступа является регламентация минимальных
потребностей персонала в конфиденциальных сведениях (42, с.7).
Это дает возможность
разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников.
Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый
знал бы лишь свою незначительную часть. Дробление информации также не позволяет
конкурентам использовать ее за счет приема на работу уволенного из фирмы сотрудника.
В соответствии с
иерархической последовательностью доступа определяется структура рубежей защиты
информации, которая предусматривает постепенное ужесточение защитных мер
по иерархической вертикали возрастания уровня конфиденциальности сведений. Этим
обеспечивается недоступность этих сведений для случайных людей, злоумышленника и
определяется необходимый уровень защищенности информации.
Руководитель фирмы
имеет право давать разрешение на ознакомление со всеми видами конфиденциальных
документов фирмы и всем категориям исполнителей и другим лицам. Однако целесообразно,
чтобы первый руководитель оставлял за собой право распоряжаться только наиболее
ценной информацией, делегируя право выдачи разрешений на доступ к другой информации
нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в
выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению
оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация
создает условия для утраты ценных сведений.
Заместители первого
руководителя по функциональным сферам (по науке, производственным вопросам, сбыту
и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями
всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции
(39, с.41).
Руководителям структурных
подразделений дается право разрешать доступ к конфиденциальным сведения всем
работникам своих подразделений по тематике их работы. Руководитель подразделения
может давать разрешение только непосредственно подчиненным ему сотрудникам. Для
осуществления доступа к документам данного подразделения работника другого подразделения
необходимо разрешение соответствующего заместителя руководителя фирмы (59, с.105).
Ответственные исполнители работ (направлений деятельности) имеют право давать
разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и
в пределах их компетенции. В небольших фирмах разрешение на доступ дает только первый
руководитель.
Представителям государственных
органов разрешение на доступ к конфиденциальным сведениям дает только первый руководитель
фирмы При необходимости доступа к конфиденциальным сведения представителей других
фирм и предприятий руководствуются теми обязательствами, которые были закреплены
в соответствующем договоре (контракте) на выполнение работ или услуг Это касается
как документированной информации, так и информации устной, визуальной и любой другой.
В этом случае разрешение на доступ дает должностное лицо фирмы, включенное в специальный
перечень, прилагаемый к договору и утвержденный первым руководителем (46, с.79).
Руководитель фирмы,
вне зависимости от формы ее собственности, может устанавливать иные специальные
или дополнительные правила доступа к конфиденциальным сведениям, документам, базам
данных и носителям информации, конфиденциальным изделиям и продукции фирмы Он несет
за это единоличную ответственность. Разрешение на доступ к конфиденциальной информации
всегда дается полномочным руководителем только в письменном виде, резолюцией
на документе, приказом, утверждающим схему именного или должностного доступа к конкретным
группам информации, утвержденным руководителем списком-разрешением на обложке дела,
списком ознакомления с документом и т.п. Без дополнительного разрешения допускаются
к документам их исполнители (если они продолжают работать по той же тематике) и
лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения
могут допускаться также лица, указанные в тексте распорядительных документов. Если
сотрудник допускается только к части документа, то в разрешении (резолюции) четко
указываются конкретные пункты, разделы, страницы, приложения, с которыми он может
ознакомиться. Сотрудник службы конфиденциального делопроизводства обязан принять
необходимые меры по исключению возможности ознакомления исполнителя с другими частями
документа (51, с.47).
Разрешение на доступ
к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется
резолюцией полномочного должностного лица на предписании (или письме, обязательстве),
представленном заинтересованным лицом. В резолюции должны быть указаны конкретные
документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия
сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями
и несет ответственность за его работу в помещении фирмы (57, с.13).
Следует соблюдать
правило, по которому регистрируются все лица, имеющие доступ к определенным документам,
коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное
обеспечение аналитической работы по выявлению возможных каналов утраты информации.
При организации
доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам
данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие
главные составные части:
¾
доступ к ПК, серверу или рабочей станции;
¾
доступ к машинным носителям информации, хранящимся вне ЭВМ.
Доступ к персональному
компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной
информации, предусматривает:
¾
определение и регламентацию первым руководителем фирмы состава сотрудников,
имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная
техника, средства связи,
¾
регламентацию первым руководителем временного режима нахождения этих
лиц в указанных помещениях; персональное и временное протоколирование (фиксирование)
руководителем подразделения или направления деятельности фирмы наличия разрешения
и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни
и др.),
¾
организацию охраны этих помещений в рабочее и нерабочее время, определение
правил вскрытия помещений и отключения охранных технических средств информации и
сигнализирования; определение правил постановки помещений на охрану; регламентацию
работы, указанных технических средств в рабочее время,
¾
организацию контролируемого (в необходимых случаях пропускного) режима
входа в указанные помещения и выхода из них,
¾
организацию действий охраны и персонала в экстремальных ситуациях
или при авариях техники и оборудования помещений,
¾
организацию выноса из указанных помещений материальных ценностей,
машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых
персоналом личных вещей (56, с.302).
Любое несанкционированное
или санкционированное обращение к информации должно регистрироваться. Рекомендуется
систематически проверять используемое пользователями программное обеспечение с целью
обнаружения неутвержденных или необычных программ. Применение персоналом собственных
защитных мер при работе с компьютером не допускается. При несанкционированном входе
в конфиденциальный файл информация должна немедленно автоматический стираться
Несмотря на то,
что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на
гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится
вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в
неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа,
во-вторых, злоумышленник может с помощью специальных методов восстановить стертую
конфиденциальную информацию на жестком диске (произвести "уборку мусора").
Доступ к машинным
носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:
¾
организацию учета и выдачи сотрудникам чистых машинных носителей информации,
¾
организацию ежедневной фиксируемой выдачи сотрудникам и приема от
сотрудников носителей с записанной информацией (основных и резервных),
¾
определение и регламентацию первым руководителем состава сотрудников,
имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных
на их рабочих местах, и получать в службе конфиденциального делопроизводства учтенные
машинные носители информации;
¾
организацию системы закрепления за сотрудниками машинных носителей
информации и контроля за сохранностью и целостностью информации, учета динамики
изменения состава записанной информации;
¾
организацию порядка уничтожения информации на носителе, порядка и
условий физического уничтожения носителя,
¾
организацию хранения машинных носителей в службе конфиденциального
делопроизводства в рабочее и нерабочее время, регламентацию порядка эвакуации носителей
в экстремальных ситуациях,
¾
определение и регламентацию первым руководителем состава сотрудников
не сдающих по объективным причинам технические носители информации на хранение в
службу конфиденциального делопроизводства в конце рабочего дня, организацию особой
охраны помещений и компьютеров этих сотрудников.
Работа сотрудников
службы конфиденциального делопроизводства и фирмы в целом с машинными носителями
информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальным
документооборотом.
Доступ к конфиденциальным
базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру.
И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи
защиты охраняемой электронной информации он успешно прошел. В конечном счете, он
может просто унести компьютер или вынуть из него и унести жесткий диск, не
"взламывая" базу данных (53; 50).
Обычно доступ к
базам данных и файлам подразумевает:
1.
определение и регламентацию первым руководителем состава сотрудников, допускаемых
к работе с определенными базами данных и файлами; контроль системы доступа администратором
базы данных;
2.
наименование баз данных и файлов, фиксирование в машинной памяти имен пользователей
и операторов, имеющих право доступа к ним;
3.
учет состава базы данных и файлов, регулярную проверку наличия, целостности
и комплектности электронных документов;
4.
регистрацию входа в базу данных, автоматическую регистрацию имени пользователя
и времени работы; сохранение первоначальной информации;
5.
регистрацию попытки несанкционированного входа в базу данных, регистрацию
ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране
и автоматическое отключение компьютера;
6.
установление и нерегулярное по сроку изменение имен пользователей, массивов
и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой
смене персонала;
7.
отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы
защиты информации, механическое (ключом или иным приспособлением) блокирование отключенной,
но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли,
ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства
и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной
организацией и индивидуально доводятся до сведения каждого пользователя работником
этой организации или системным администратором Применение пользователем собственных
кодов не допускается (65. c.64).
Таким образом, процедуры
допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения
данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени
большое значение приобретает текущая работа с персоналом, в распоряжении которого
находятся ценные и конфиденциальные сведения.
Разрешение (санкция)
на доступ к конкретной информации может быть дано при соблюдении следующих условий:
¾
наличие подписанного приказа первого руководителя о приеме на работу
(переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении
на должность, в функциональную структуру которой входит работа с данной, конкретной
информацией;
¾
наличие подписанного сторонами трудового договора (контракта), имеющего
пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших
известными конфиденциальных сведений и соблюдении правил их зашиты,
¾
соответствие функциональных обязанностей сотрудника передаваемым ему
документам и информации;
¾
знание сотрудником требований нормативно-методических документов по
защите информации и сохранении тайны фирмы,
¾
наличие необходимых условий в офисе для работы с конфиденциальными
документами и базами данных;
¾
наличие систем контроля за работой сотрудника.
Разрешение на доступ
к конфиденциальным сведениям строго персонифицировано, те руководители несут
персональную ответственность за правильность выдаваемых ими разрешений на доступ
исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными
документами, несут персональную ответственность за сохранение в тайне их содержания,
сохранность носителя и соблюдение установленных правил работы с документами.
Совокупность технологических
стадий (функциональных элементов), сопровождающих потоки конфиденциальных документов,
несколько отличается от аналогичной совокупности, свойственной потокам открытых
документов. Так, входной документопоток включает в себя следующие стадии обработки
конфиденциальных сведений:
1.
Прием, учет и первичная обработка поступивших пакетов, конвертов, незаконвертованных
документов;
2.
Учет поступивших документов и формирование справочно-информационного банка
данных по документам;
3.
Предварительное рассмотрение и распределение поступивших документов;
4.
Рассмотрение документов руководителям! и передача документов на исполнение;
5.
Ознакомление с документами исполните лей, использование или исполнение документов.
(47, с.120).
Выходной и внутренний
документопотоки включают в себя следующие стадии обработки конфиденциальных документов:
1.
Исполнение документов (этапы: определение уровня грифа конфиденциальности
предполагаемого документа, учет носителя будущего документа, составление текста,
учет подготовленного документа, его изготовление и издание);
2.
Контроль исполнения документов;
3.
Обработка изданных документов (экспедиционная обработка документов и отправка
их адресатам; передача изданных внутренних документов на исполнение);
4.
Систематизация исполненных документов в соответствии с номенклатурой дел,
оформление, формирование и закрытие дел;
5.
Подготовка и передача дел в ведомственный архив (архив фирмы).
В состав всех документопотоков
включается также ряд дополнительных стадий обработки конфиденциальных документов:
1.
Инвентарный учет документов, дел и носителей информации, не включаемых в
номенклатуру дел;
2.
Проверка наличия документов, дел и носителей информации;
3.
Копирование и тиражирование документов;
4.
Уничтожение документов, дел и носителей информации. (47, с.120).
Стадии, составляющие
тот или иной документопоток, реализуются специализированной технологической системой
обработки и хранения конфиденциальных документов.
Под технологической
системой обработки и хранения конфиденциальных документов понимается упорядоченный
комплекс организационных и технологических процедур и операций, предназначенных
для практической реализации задач, стоящих перед функциональными элементами (стадиями)
документопотока (53, с.42). Технология обработки и хранения конфиденциальных и открытых
документов базируется на единой научной и методической основе, призванной решать
задачи обеспечения документированной информацией управленческие и производственные
процессы. Одновременно технологическая система обработки и хранения конфиденциальных
документов решает и другую не менее важную задачу - обеспечение защиты носителей
информации и самой информации от потенциальных и реальных угроз их безопасности.
В отличие от открытых
документов к обработке конфиденциальных документов предъявляются следующие серьезные
требования, которые в определенной степени гарантируют решение указанных задач:
1.
Централизации всех стадий, этапов, процедур и операций по обработке и хранению
конфиденциальных документов;
2.
Учета всей без исключения конфиденциальной информации;
3.
Операционного учета технологических действий, производимых с традиционным
(бумажным) или электронным носителем (в том числе чистым) и документом, учет каждого
факта "жизненного цикла" документа;
4.
Обязательного контроля правильности выполнения учетных операций;
5.
Учета и обеспечения сохранности не только документов, но и учетных форм;
6.
Ознакомления или работы с документом только на основании письменной санкции
(разрешения) полномочного руководителя, письменного фиксирования всех обращений
персонала к документу;
7.
Обязательной росписи руководителей, исполнителей и технического персонала
при выполнении любых действий с документом в целях обеспечения персональной ответственности
сотрудников фирмы за сохранность носителя и конфиденциальность информации;
8.
Выполнения персоналом введенных в фирме правил работы с конфиденциальными
документами, делами и базами данных, обязательными для всех категорий персонала;
9.
Систематических (периодических и разовых) проверок наличия документов у исполнителей,
в делах, базах данных, на машинных носителях и т.д., ежедневного контроля сохранности,
комплектности, целостности и местонахождения каждого конфиденциального документа;
10.
Коллегиальности процедуры уничтожения документов, дел и баз данных;
11.
Письменного санкционирования полномочным руководителем процедур копирования
и тиражирования бумажных и электронных конфиденциальных документов, контроль технологии
выполнения этих процедур. Технологическая система обработки и хранения конфиденциальных
документов распространяется не только на управленческую (деловую) документацию,
но и конструкторские, технологические, научно-технические и другие аналогичные документы,
публикации, нормативные материалы и др., хранящиеся в специальных библиотеках, информационных
центрах, ведомственных архивах, документированную информацию, записанную на любом
типе носителя информации.
Технологические
системы обработки и хранения конфиденциальных документов могут быть традиционными,
автоматизированными и смешанными (104, с.32). Традиционная (делопроизводственная)
система основывается на ручных методах работы человека с документами и является
наиболее универсальной. Она надежно, долговременно обеспечивает защиту документированной
информации, как в обычных, так и экстремальных ситуациях. В связи с этим стадии
защищенного документооборота в большинстве случаев технологически реализуются методами
и средствами именно традиционной системы обработки и хранения конфиденциальных документов,
а не автоматизированной. Система одинаково эффективно оперирует как традиционными
(бумажными), так и документами машиночитаемыми, факсимильными и электронными.
Традиционная технологическая
система обработки и хранения конфиденциальных документов лежит в основе широко известного
понятия "делопроизводство" или "документационное обеспечение управления"
(в его узком, но часто встречающемся в научной литературе понимании как синонима
делопроизводства). С другой стороны, делопроизводство часто рассматривается в качестве
организационно-правового и технологического инструмента построения ДОУ. Автоматизированная
технология (как и традиционная, делопроизводственная) является обеспечивающей и
обслуживает конкретные потребности персонала в конфиденциальной информации. Автоматизированная
система, обслуживающая работу с конфиденциальными документами, должна в принципе
обеспечивать:
1.
Сокращение значительного объема рутинной работы с документами и числа технических
операций, выполняемых ручными методами;
2.
Реализацию возможности для персонала организации (фирмы) работать с электронными
документами в режиме безбумажного документооборота;
3.
Достаточную гарантию сохранности и целостности информации, регулярного контроля
и противодействия попыткам несанкционированного входа в банк данных;
4.
Аналитическую работу по определению степени защищенности информации и поиску
возможных каналов ее утраты;
5.
Единство технологического процесса с режимными требованиями к защите информации
(допуск, доступ, регламентация коллегиальности выполнения некоторых процедур, операций
и т.п.);
6.
Персональную ответственность за сохранность конфиденциальных сведений в машинных
массивах и на магнитных носителях вне ЭВМ;
7.
Возможность постоянного учета местонахождения традиционного или электронного
документа и проверки его наличия и целостности в любое время;
8.
Предотвращение перехвата информации из ЭВМ по техническим каналам, наличие
надежной охраны помещений, в которых находится вычислительная техника, охрана компьютеров
и линий компьютерной связи;
9.
Исключение технологической связи единичного компьютера или локальной сети,
предназначенных для обработки конфиденциальных документов с сетями, обеспечивающими
работу с открытой информацией, исключение использования их линий связи, выходящих
за пределы охраняемой зоны (здания, территории) (67, с.61).
В соответствии с
этим автоматизированная технологическая система обработки и хранения по сравнению
с аналогичными системами, оперирующими общедоступной информацией имеет ряд серьезных
принципиальных особенностей:
1.
Архитектурно локальная сеть базируется на главном компьютере (сервере) находящемся
у ответственного за КИ; автоматизированные рабочие места, рабочие станции сотрудников
могу быть увязаны в локальную сеть только по вертикали;
2.
В некрупных фирмах конфиденциальная нформация обрабатывается секретарем-референтом
на единичном защищенном компьютере, не имеющем выхода в какую-либо локальную сеть;
3.
Обязательное наличие иерархической и утвержденной первым руководителем организации
(фирмы) системы разграничения доступа к информации, хранящейся как в машинных массивах,
так и на магнитных носителях вне ЭВМ; охват системой разграничения доступа всех
категорий персонала;
4.
Закрепление за каждым пользователем строго определенного состава массивов
электронной информации и магнитных носителей; исключение возможности для пользователя
"покопаться" в базе данных системы;
5.
Автоматизированное выполнение пользователями операций справочного и поискового
обслуживания, составления и иногда изготовления документов, контроля исполнения
документов, работы с электронными документами, факсами и электронными аналогами
бумажных документов;
6.
Сохранение информационной базы учетной функции (в правовом понимании, а также
как элемента формирования страхового массива информации) и функции персональной
ответственности за традиционной технологической системой с использованием учетных
карточек и иных форм (описей), изготовляемых не вручную, а автоматически - на принтере
ПЭВМ; автоматическая допечатка в указанные формы изменений и дополнений при движении
документов;
7.
Обязательный учет конфиденциальных электронных документов, находящихся на
всех магнитных носителях и в машинных массивах, постоянная проверка реального наличия
этих документов на носителях и в массивах, их целостности, комплектности и отсутствия
несанкционированных копий;
8.
Необходимость исключения технической возможности копирования информации,
содержащейся в компьютере (рабочей станции) пользователя, на другие магнитные носители
и работы компьютера в комплекте с принтером (изъятие из ЭВМ дисководов и т.п.);
9.
Жесткое соблюдение персоналом правил работы с конфиденциальной электронной
информацией, в частности, правила, что все операции с информацией в компьютере должны
быть письменно санкционированы полномочным должностным лицом и протоколироваться
в машинном журнале; протоколы подлежат регулярному контролю и анализу руководством
организации (фирмы);
10.
Изъятие конфиденциальной информации из базы данных компьютера (рабочей станции)
по окончании работы с ней (например, в конце рабочего дня, при длительных перерывах
в работе и т.п.) и перенос информации на дискеты, подлежащие сдаче в службу конфиденциальной
документации (63, с.126).
Рассмотрение и исполнение
электронных конфиденциальных документов и электронных аналогов бумажных документов
разрешается только при наличии сертифицированной системы защиты компьютеров и локальной
сети, включающей комплекс программно-аппаратных, криптографических и технических
мер защиты базы данных, компьютеров и линий связи. Помещения, в которых конфиденциальная
информация обрабатывается на ПК, должны иметь защиту от технических средств промышленного
шпионажа, надежную круглосуточную охрану и пропускной режим. Кроме того, следует
учитывать, что при автоматизированной обработке объективно резко увеличивается количество
носителей (источников), содержащих конфиденциальные сведения: традиционный бумажный
документ, разнообразные машинограммы карточек, описей документов, многочисленные
записи информации на магнитных носителях и визуальная информация на экране дисплея.
Недостатком обработки информации на ПК является также необходимость постоянного
дублирования информации на нескольких носителях с целью исключения опасности ее
утраты или искажения по техническими причинам. Указанные выше особенности усложняют
систему, но без их соблюдения нельзя гарантировать сохранность конфиденциальной
информации, эффективность защиты информационных массивов в ЭВМ от несанкционированного
доступа, разрушения, копирования и подмены. Безопасность информации в ЭВМ и локальной
сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиденциальных
сведений. В связи с этим, важное актуальное значение имеет защита технических носителей
конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их
учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность
утраты машиночитаемого документа. Подобная проблема несущественна для носителей,
содержащих открытую информацию. В основе обеспечения сохранности носителей электронных
конфиденциальных документов, находящихся вне машины, в настоящее время эффективно
используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов
в традиционной технологической системе (77, с.58).
Таким образом, в
настоящее время наиболее широко используют смешанную технологическую систему обработки
и хранения конфиденциальных документов, совмещающую традиционную и автоматизированную
технологии. Выборочно автоматизируются: справочная и поисковая работа по бумажным
документам, процедура составления и изготовления документов и учетных форм, контроль
исполнения, сервисные задачи. Остальные стадии и процедуры выполняются в русле традиционной,
делопроизводственной технологии (распределение бумажных документов, их рассмотрение,
исполнение, оперативное и архивное хранение документов). В силу специфики обрабатываемых
сведений о документах и самих документов автоматизированные системы делопроизводственной
ориентации имеют в большинстве случаев информационно-справочный характер.
Недостаток смешанной
технологии состоит в неполном использовании преимуществ и функциональных возможностей
компьютерной технологии, что порождает сохранение рутинных делопроизводственных
операций и не совершенствует документооборот.
Операции по обработке
и хранению конфиденциальных документов организации (фирмы) должны базироваться на
устоявшихся основополагающих принципах, предполагающих использование специализированных
методов защиты документопотоков и применения автономной эффективной технологической
системы обработки и хранения документов. Только в этом случае можно в определенной
степени гарантировать сохранность носителя и самой конфиденциальной информации,
обеспечить безопасность интеллектуальной собственности организации (фирмы).
Полное официальное
наименование предприятия - открытое акционерное общество "Челябинский завод
профилированного стального настила". Сокращенное наименование предприятия ОАО
"ЧЗПСН - Профнастил".
Местонахождение
предприятия - Российская Федерация, г. Челябинск, ул. Валдайская, 7.
Предприятие относится
к строительной отрасли. В связи со сложным экономическим положением, было образовано
ЗАО "Челябинский профнастил", которое работает с ОАО на условиях толлинга,
т.е. закупает сырьё и на давальческих условиях передаёт его в ОАО, потом реализует
продукцию.
Численность производственно-промышленного
персонала по состоянию на начало 2007-го года - 635 человек.
Предприятие образовано
4-го февраля 1974 года. В сентябре 1993 года преобразовано в акционерное общество
открытого типа с уставным капиталом 83 745 рублей, разделенным на 837 450 обыкновенных
акций, имеющих одинаковую номинальную стоимость 0,1 рубля. В июле 1998 года предприятие
перерегистрировано в открытое акционерное общество.
Общее количество
акционеров компании по состоянию на 28.02.2007 г. составляет 371, из которых: -
2 юридических лица, обладающих в общей сложности около 18% акций предприятия;
369 физических лиц,
обладающих в совокупности 82% акций предприятия.
Высшим органом управления
предприятия является общее Собрание акционеров, к исключительной компетенции которого,
в числе прочего, относится избрание членов Совета директоров. Совет директоров,
состоящий из 7 человек, выбирает из своего состава генерального директора предприятия,
который возглавляет правление - коллегиальный исполнительный орган, осуществляющий
руководство текущей деятельностью предприятия. Правление состоит также из 7 человек.
Структуры акционеров
и органов управления предприятия с июля 1999 года претерпели серьезные изменения.
В частности, большие пакеты акций были приобретены физическими лицами, ныне занимающими
ключевые должности в акционерном обществе.
Основными видами
деятельности предприятия согласно уставным документам являются:
¾
производство легких ограждающих конструкций и изделий из них;
¾
производство теплоэнергии;
¾
оказание услуг промышленного характера по очистке промсточных
¾
производство товаров народного потребления;
¾
строительно-монтажные и строительные работы;
¾
оказание бытовых услуг населению.
Функции основных
структурных подразделений
В рамках ныне существующей
организационной структуры управления ОАО "ЧЗПСН - Профнастил" генеральный
директор имеет 7 заместителей.
ОАО "ЧЗПСН
- Профнастил" состоит из следующих структурных подразделений (Рис.1).
Нач.
центра региональных продаж |
Рисунок 1. Организационная структура ОАО “ЧЗПСН - ПРОФНАСТИЛ”
Отдел главного энергетика (ОГЭ) организует обслуживание, ремонт
и модернизацию энергетического и теплового оборудования, обеспечивает поставки и
распределение энергетической и тепловой энергии на предприятии и потребителям, контролирует
расход энергии, воды, энергоносителей (природный газ, мазут). Главному энергетику
также подчинены энергетический цех (ЭЦ) и ремонтно-энергетический цех (РЭЦ).
Отдел главного механика (ОГМ) организует обслуживание, ремонт
и модернизацию технологического оборудования, инструмента и оснастки. Главному механику
также подчиняется ремонтно-механический цех (РМЦ).
Отдел охраны труда и техники безопасности (ООТ и ТБ) организует
весь спектр работ по охране труда и соблюдению правил техники безопасности на предприятии.
Цех ПЛОК (производство легких ограждающих конструкций) выпускает
основную продукцию предприятия-профили, панели, окрашенную рулонную сталь, метизы.
Этот цех состоит из 5 участков:
1.
Участок профилей. Здесь производят профили, подоконные сливы, коньки, различные
фрагменты обрамления.
2.
Участок панелей. Здесь производят панели из пенополиуретана (на линии немецкой
фирмы “Elastogran”) и минеральной ваты (эти панели собирают
на стендах вручную).
3.
Участок окраски. Здесь производят окраску тонколистовой стали в рулонах.
4.
Участок метизов выпускает болты, винты и заклепки как для укомплектования
профилей и панелей, так и для реализации. Здесь установлено высококачественное оборудование
швейцарской фирмы “Safeed”, итальянской “Ingramatik”, английской “Greenbat"
и немецких “Platarg” и “Wafios”.
5.
Участок отгрузки. Здесь производят выгрузку поступающего на предприятие сырья
и отправку готовой продукции потребителям (в том числе железнодорожным транспортом).
ЦЭМК (цех по изготовлению эффективных металлоконструкций) изготавливает
несущие конструкции быстровозводимых зданий.
Энергетический цех (ЭЦ) был образован в марте 2000 года из паросилового
цеха (ПСЦ) и цеха очистки промышленных сточных вод (ЦОПСВ). ПСЦ производит и подает
пар и горячую воду не только на завод, но и потребителям - близлежащим предприятиям
(ОАО “АКСИ”, ОАО “Уралгипс-Knauff”, ООО ПСО “КПД и СК”,
ЗАО “ЖБИ-1” и др.). Здесь также установлены емкости для хранения мазута общим объемом
10 тыс.тонн. ЦОПСВ производит очистку сточных вод не только ОАО “ЧЗПСН-Профнастил”,
но и соседних предприятий.
Ремонтно-энергетический цех (РЭЦ) организует обслуживание, ремонт
и модернизацию энергетического оборудования.
Ремонтно-механический цех (РМЦ) организует обслуживание, ремонт
и модернизацию технологического оборудования, инструмента и оснастки.
Отдел технического контроля и метрологии (ОТК) ранее также находился
в подчинении технического директора. С целью повышения качества выпускаемой продукции
во второй половине 1999 года эта служба получила большую самостоятельность, а ее
руководитель - должность заместителя генерального директора по качеству выпускаемой
продукции. Отдел осуществляет контроль качества выпускаемой продукции, организует
входной контроль качества поступающих на предприятие сырья и материалов, совместно
с конструкторско-технологическим отделом проводит сертификацию выпускаемой продукции.
Коммерческий директор в настоящее время имеет в своем
подчинении отдел материально-технического снабжения, ремонтно-строительный участок
и транспортный цех.
Отдел материально-технического снабжения (ОМТС) находит и определяет
поставщиков ресурсов, необходимых предприятию, заключает договоры с поставщиками,
организует доставку ресурсов на склад предприятия, обеспечивает их хранение и выдачу
цехам по требованиям. В ведении этого отдела находятся несколько складов, участка
транспортировки железнодорожным транспортом и участка транспортировки автомобильным
транспортом. В обязанности этого цеха входят организация перевозки грузов внутри
предприятия и за его пределами, а также доставка работников предприятия к месту
работы и обратно.
Отдел маркетинга возглавляет директор по маркетингу и сбыту.
Транспортный цех (ТрЦ) состоит из двух участков - участка транспортировки
железнодорожным транспортом и участка транспортировки автомобильным транспортом.
В обязанности этого цеха входят организация перевозки грузов внутри предприятия
и за его пределами, а также доставка работников предприятия к месту работы и обратно.
Введена новая должность финансового директора. Ему подчиняется
финансовый отдел, бухгалтерия и планово - экономический отдел.
Финансовый отдел (ФО) управляет финансовыми операциями предприятия,
контролирует поступление на расчетный счет денежных средств и порядок их расходования,
обеспечивает получение кредитов. осуществление расчетов и контроль денежных потоков;
расчёт плановой себестоимости продукции; утверждение регулируемых тарифов; организация
и ведение управленческого учёта; составление бюджета предприятия; анализ фактического
выполнения бюджета; расчёт и анализ фактической себестоимости продукции; расчёт
и анализ затрат на качество; поиск резервов снижения себестоимости; расчёт экономической
эффективности инвестиционных проектов; работа по совершенствованию организации труда,
форм и систем заработной платы, материального и морального стимулирования; подготовка
штатного расписания и штатной расстановки; инновационная деятельность; участие в
выработке предложений по совершенствованию действующей системы менеджмента качества.
Главный бухгалтер возглавляет бухгалтерию, которая учитывает
поступление и расходование материальных и финансовых ресурсов на предприятии, рабочей
силы, готовит отчеты о деятельности предприятия и предоставляет их руководству предприятия,
а также государственным и местным хозяйственным органам.
Страницы: 1, 2, 3, 4
|