БЛОК №5.Работа со служебной информацией ограниченного распространения, содержащейся в паспорте безопасности объекта (территории)

УЦ, Академия Бизнеса > БЛОК №5.Работа со служебной информацией ограниченного распространения, содержащейся в паспорте безопасности объекта (территории)

ИТОГОВОЕ ЗАКЛЮЧЕНИЕ ПО КУРСУ

аудио материал
итоговое тестирование

Мы завершили большой курс. Сорок восемь часов лекций, двадцать четыре часа практических занятий, восемь часов самостоятельной работы. Мы прошли путь от общего законодательства о государственной тайне до конкретных инструкций по заполнению журнала выдачи документов. От теории угроз — до схем крепления сейфа к полу.

Но сейчас, в этот заключительный час, я хочу, чтобы мы сделали шаг назад. Не в детали, а в обзор. Мы должны увидеть весь курс как единую систему.

Представьте, что вы — главный инженер, который строит мост. Вы изучили свойства бетона, научились вязать арматуру, освоили расчет нагрузок. Но если вы не увидите мост целиком, не поймете, как все элементы работают вместе, — мост рухнет.

Так и здесь. Можно идеально вести журнал учета, но отправить паспорт по электронной почте — и потерять всё. Можно поставить сейф третьего класса взломостойкости, но допустить к нему двадцать человек без подписки о неразглашении — и потерять всё. Можно блестяще смоделировать угрозы в паспорте, но забыть поставить гриф «Для служебного пользования» на обложке — и потерять всё.

Цель сегодняшнего итогового занятия — не повторить пройденное, а связать пройденное. Мы пройдем по четырем модулям, но не последовательно, а перекрестно. Мы увидим, как решения в области делопроизводства влияют на техническую защиту, а юридическая квалификация документа определяет порядок его уничтожения.

В конце занятия я предложу вам «Золотой стандарт» — чек-лист из десяти пунктов, который превращает хаос в систему. Вы сможете использовать его как основу для аудита в своей организации.

МОДУЛЬ 1: ПРАВО — ФУНДАМЕНТ, А НЕ ФОРМАЛЬНОСТЬ

1.1. Главный вывод Модуля 1.

Паспорт безопасности объекта — это служебная информация ограниченного распространения. Не государственная тайна. Не коммерческая тайна. Не открытые данные.

Этот статус не выбирается руководителем «по настроению». Он императивно установлен Постановлением Правительства Российской Федерации от 3 ноября 1994 года №1233 и отраслевыми требованиями к антитеррористической защищенности.

Практический итог:
Если на вашем паспорте безопасности нет грифа «Для служебного пользования» — вы уже нарушили закон, даже не начав работать с документом.

1.2. Ключевая развилка: перечень сведений, которые нельзя закрыть.

Пункт 1.3 Постановления номер 1233 — это не рекомендация, а запрет. Нельзя ставить гриф «Для служебного пользования» на:

  • нормативные акты и их проекты;
  • сведения о чрезвычайных ситуациях;
  • сведения о состоянии преступности;
  • сведения о фактах нарушения законности должностными лицами.

Вопрос на миллион:
Что делать, если в паспорте безопасности зафиксирован факт нарушения законности (например, отсутствие ограждения с северной стороны)?
Ответ: не закрывать эту информацию грифом, а вынести ее в отдельный открытый документ (план устранения недостатков). Сам паспорт остается закрытым, а факт нарушения становится прозрачным для контроля.

1.3. Ответственность: реальность, а не страшилка.

Статья 13.14 Кодекса об административных правонарушениях — это рабочий инструмент. Штрафы назначаются, решения судов вступают в силу.

Помните:

  • Должностное лицо платит 50 000 – 100 000 рублей.
  • Организация платит 200 000 – 500 000 рублей.
  • Увольнение за утрату паспорта — не ультиматум, а практика трудовых споров, подтвержденная Верховным Судом.

Связь с другими модулями:
Ответственность наступает не только за разглашение (Модуль 1), но и за нарушение правил учета (Модуль 3), за пересылку по открытым каналам (Модуль 4), за отсутствие допуска (Модуль 3). Это системная ответственность.

МОДУЛЬ 2: ПАСПОРТ БЕЗОПАСНОСТИ — НЕ БЮРОКРАТИЯ, А ИНСТРУМЕНТ ВЫЖИВАНИЯ

2.1. Главный вывод Модуля 2.

Паспорт безопасности — это не «бумажка для проверяющих». Это документ, содержащий критическую информацию об уязвимостях объекта. В руках злоумышленника паспорт становится картой нападения.

Практический итог:
Никогда не формулируйте уязвимости так, как вы бы их описали для служебной записки внутри организации.

Неправильно: «Камера номер 3 на северном фасаде не работает».
Правильно: «Требуется восстановление работоспособности системы видеонаблюдения на северном фасаде».

2.2. Принцип «трех фильтров».

Перед тем как включить любую информацию в паспорт безопасности, пропустите ее через три фильтра:

Фильтр первый. Оружейный.
Может ли эта информация быть использована как оружие или инструкция к совершению преступления? Если да — формулировка опасна, ее нужно обобщать.

Фильтр второй. Уязвимостный.
Раскрывает ли эта информация слабое место объекта? Если да — либо удалите детали, либо перенесите в отдельное, особо защищенное приложение.

Фильтр третий. Идентификационный.
Позволяет ли эта информация точно идентифицировать место, время, ответственное лицо, технические параметры? Если да — обезличьте.

2.3. Графические приложения: зона особого риска.

Схемы охраны, ситуационные планы, поэтажные планы с нанесенными камерами и постами — это наивысший уровень ценности для злоумышленника.

Правило: количество экземпляров схем должно быть минимальным. Доступ к схемам — только для лиц, непосредственно отвечающих за охрану. Хранение схем — отдельно от текстовой части паспорта, в особо защищенном сейфе.

Связь с Модулем 3:
Если схема охраны включена в общий том паспорта, она учитывается по общим правилам. Но лучше — выделить ее в отдельное приложение с собственной внутренней описью и инвентарным номером.

МОДУЛЬ 3: ДЕЛОПРОИЗВОДСТВО — ЭТО НЕ БУМАЖКИ, ЭТО ДОКАЗАТЕЛЬСТВА

3.1. Главный вывод Модуля 3.

Учет документов с пометкой «Для служебного пользования» — это не «лишняя бюрократия». Это единственный способ доказать, что вы добросовестно исполняли требования законодательства.

Если у вас нет журнала учета — значит, у вас нет документов. Если у вас нет отметок о выдаче — значит, документы мог взять кто угодно. Если у вас нет актов об уничтожении — значит, черновики не уничтожены, а утрачены.

Практический итог:
Делопроизводство — это юридическая защита ответственного лица и организации в целом.

3.2. Четыре столпа делопроизводства ДСП.

Столп первый. Журнал учета.
Прошнурован, пронумерован, скреплен печатью. Каждый документ — уникальный инвентарный номер. Инвентарный номер — на титуле и на обороте последнего листа.

Столп второй. Журнал выдачи.
Каждый факт выдачи и возврата. Только лица, имеющие допуск. Только на основании служебной необходимости.

Столп третий. Акты об уничтожении.
Испорченные листы, черновики, устаревшие редакции. Комиссия, акт, способ уничтожения. Без акта уничтожение не считается.

Столп четвертый. Дело и внутренняя опись.
Паспорт безопасности — документ постоянного хранения. Формируется дело, оформляется обложка, составляется внутренняя опись. Без описи архив не примет документ.

3.3. Допуск: кто, когда, на каком основании.

Приказ о допуске — это акт доброй воли организации. Нет приказа — нет допуска. Нет подписки о неразглашении — нет доказательств, что сотрудник предупрежден.

Принцип минимальной достаточности:
Доступ к паспорту безопасности должен иметь только тот, кому это действительно нужно для выполнения служебных обязанностей. Директор — да. Учитель физкультуры — нет.

Связь с Модулем 1:
Отсутствие допуска и подписки делает невозможным привлечение сотрудника к ответственности по статье 13.14. Суд спросит: «А откуда он знал, что это секретно?».

МОДУЛЬ 4: ТЕХНИЧЕСКАЯ ЗАЩИТА — ПОСЛЕДНИЙ РУБЕЖ

4.1. Главный вывод Модуля 4.

Никакой учет и никакие приказы не спасут, если физическая среда уязвима.

Сейф, который можно унести, — это не сейф, а металлический ящик.
Монитор, развернутый к окну, — это не рабочее место, а витрина.
Электронная почта без шифрования — это не пересылка, а публикация.

Практический итог:
Техническая защита — это фундамент. Если он слабый, здание рухнет.

4.2. Три кита технической защиты.

Кит первый. Хранение.
Сейф не ниже 1 класса взломостойкости. Прикреплен к полу или стене. Ключи — у ответственного лица. Дубликат — в опечатанном конверте у руководителя.

Кит второй. Визуальная защита.
Жалюзи на окнах. Монитор — торцом к окну. Приват-фильтр — обязателен. Документы на столе — только на время работы.

Кит третий. Пересылка.
Никакой электронной почты без СКЗИ. Никаких мессенджеров. Никаких облачных хранилищ.
Только: бумага (заказное письмо, нарочный, фельдъегерь) или СКЗИ (ViPNet, КриптоПро и аналоги).

4.3. Государственные информационные системы: благо, но с оговорками.

Ведомственные ГИС (АРМ «Безопасность», отраслевые порталы) — это легальный канал, если:

  • система аттестована по требованиям ФСТЭК России;
  • используются сертифицированные СКЗИ;
  • документы подписываются усиленной квалифицированной электронной подписью.

Запрещено отправлять паспорт безопасности через:

  • Единый портал государственных услуг (обычные формы подачи заявлений);
  • электронную почту (даже корпоративную);
  • мессенджеры (даже с «защищенными чатами»).

СИСТЕМНАЯ МОДЕЛЬ: КАК ВСЁ ЭТО РАБОТАЕТ ВМЕСТЕ

Четыре модуля в единый жизненный цикл паспорта безопасности.

Этап 1. Разработка и оформление (Модуль 2).
Специалист разрабатывает паспорт. Он должен:

  • использовать корректные, «безопасные» формулировки;
  • не указывать точные координаты уязвимостей;
  • выделить критическую информацию в особо защищенные приложения;
  • проверить комплектность и правильность заполнения.

Этап 2. Присвоение грифа и учет (Модуль 3).
Руководитель утверждает паспорт, проставляет гриф «Для служебного пользования». Ответственный за делопроизводство:

  • присваивает инвентарный номер;
  • вносит запись в журнал учета;
  • формирует дело и внутреннюю опись.

Этап 3. Допуск сотрудников (Модуль 3).
Руководитель издает приказ о допуске конкретных лиц. С каждого допущенного отбирается обязательство о неразглашении. Сотрудники знакомятся с приказом под подпись.

Этап 4. Хранение и выдача (Модули 3 и 4).
Паспорт помещается в сейф. Сейф прикреплен к полу, ключи — у ответственного. Доступ к сейфу ограничен. Выдача оформляется в журнале выдачи.

Этап 5. Направление на согласование (Модули 2 и 4).
Паспорт направляется в уполномоченные органы.
Вариант А: бумажный экземпляр — заказным письмом, фельдъегерской связью, нарочным.
Вариант Б: электронный экземпляр — через аттестованную ГИС с использованием СКЗИ и электронной подписи.

Этап 6. Актуализация и уничтожение устаревших экземпляров (Модули 2 и 3).
При изменении характеристик объекта разрабатывается новая редакция паспорта. Старая редакция:

  • снимается с учета;
  • уничтожается по акту комиссией;
  • отметка об уничтожении вносится в журнал учета.

Этап 7. Постоянное хранение (Модуль 3).
Паспорт безопасности (действующая редакция) хранится постоянно. Дело с паспортом передается в архив организации или хранится у ответственного лица.

Связь этапов:
Нарушение на любом этапе разрушает всю цепочку. Если вы допустили ошибку в формулировке уязвимости (Модуль 2), но идеально ведете учет (Модуль 3), паспорт все равно опасен. Если вы правильно храните паспорт (Модуль 4), но не уничтожили черновики (Модуль 3), черновики могут стать источником утечки.

Только комплексная система дает результат.

ТИПИЧНЫЙ ПОРТРЕТ НАРУШИТЕЛЯ И ТИПОВЫЕ СХЕМЫ ПРОВАЛОВ

6.1. Портрет организации с нулевой защитой.

  • Паспорт безопасности лежит в канцелярской папке на стеллаже открытого доступа.
  • Гриф «Для служебного пользования» либо отсутствует, либо написан от руки карандашом.
  • Приказа о допуске нет. Паспорт берут все, кому не лень.
  • Скан паспорта отправляли в Министерство по электронной почте.
  • Черновики и испорченные листы выбрасываются в мусорную корзину.
  • Сейф есть, но он не прикреплен к полу, ключ лежит в ящике стола.

Диагноз: Полное отсутствие системы. Вопрос не в том, будет ли утечка, а в том, когда она произойдет и какой будет масштаб.

6.2. Портрет организации с формальной защитой.

  • Паспорт в сейфе, гриф проставлен, журнал учета заведен.
  • Но в журнале учета нет ни одной записи о выдаче. Документ «прирос» к сейфу, никто с ним не работает.
  • Обязательства о неразглашении подписаны «задним числом», даты не соответствуют приказу о допуске.
  • АРМ «Безопасность» установлен, но работает через обычный Интернет, СКЗИ не настроены.
  • Акты об уничтожении есть, но способ уничтожения указан «сожжено», хотя в здании нет печи.

Диагноз: Защита ради отчета перед проверяющими. Реальной безопасности нет, но есть иллюзия безопасности, которая опаснее, чем ее отсутствие.

6.3. Три самые частые причины провалов.

Причина 1. Человеческий фактор.
Сотрудник знает правила, но нарушает их ради скорости или удобства. «Я только одним файлом, по защищенному каналу долго». Результат — утечка.

Причина 2. Отсутствие контроля.
Приказ издан, журнал заведен, но ответственный не проверяет, как реально работают сотрудники. Нарушения становятся нормой.

Причина 3. Экономия на технической защите.
СКЗИ стоит денег. Аттестация рабочего места стоит денег. Организация предпочитает «рискнуть» и отправить документ по обычной почте. Риск материализуется в виде штрафа.

«ЗОЛОТОЙ СТАНДАРТ»: ЧЕК-ЛИСТ ИДЕАЛЬНОЙ ОРГАНИЗАЦИИ

Если ваша организация соответствует этим десяти пунктам — вы защищены на 90 процентов. Остальные 10 процентов — это непрерывное совершенствование.

ЧЕК-ЛИСТ «ЗОЛОТОЙ СТАНДАРТ»

Право (Модуль 1):

  1. На паспорте безопасности проставлен гриф «Для служебного пользования» с номером экземпляра.
  2. Издан приказ об утверждении перечня сведений, не подлежащих засекречиванию (пункт 1.3 Постановления № 1233), либо этот перечень доведен до сведения разработчиков паспорта.

Паспорт (Модуль 2):
3. Текст паспорта не содержит конкретных указаний на места расположения уязвимостей и неработающих технических средств охраны.
4. Графические приложения со схемами охраны и видеонаблюдения учтены отдельно, доступ к ним ограничен 2–3 сотрудниками.

Делопроизводство (Модуль 3):
5. Ведется прошнурованный, пронумерованный и заверенный журнал учета документов с пометкой «Для служебного пользования». Паспорту присвоен инвентарный номер.
6. Издан приказ о допуске лиц к работе с паспортом безопасности. С каждого допущенного отобрано обязательство о неразглашении.
7. Ведется журнал выдачи документов. Каждый факт выдачи и возврата зафиксирован.
8. Уничтожение черновиков и испорченных листов оформляется актом комиссии.

Техническая защита (Модуль 4):
9. Паспорт безопасности хранится в сейфе, прикрепленном к полу или стене. Помещение оборудовано светонепроницаемыми шторами, мониторы — приват-фильтрами.
10. Пересылка паспорта осуществляется только на бумажном носителе (заказное письмо, нарочный) либо через аттестованную ГИС с использованием сертифицированных СКЗИ и усиленной квалифицированной электронной подписи.

ПРИМЕР КОМПЛЕКСНОГО ИНЦИДЕНТА: РАЗБОР ПОЛЕТОВ

Ситуация:

В государственном бюджетном учреждении культуры «Городской музей» произошла утечка паспорта безопасности. Скан-копия документа с грифом «Для служебного пользования» оказалась в открытом доступе в одном из городских пабликов.

Разбор с точки зрения всех модулей:

Модуль 1 (Право):

  • Гриф на паспорте проставлен, статус информации определен верно.
  • В паспорте содержались сведения о недостатках системы охраны — это информация о нарушении законности. Формально эти сведения не должны быть закрыты грифом. Однако разработчик не вынес их в отдельный открытый документ.

Модуль 2 (Паспорт):

  • В разделе «Оценка уязвимости» были указаны конкретные места: «Камера номер 7 у входа в экспозиционный зал не работает».
  • Схема охраны содержала точное расположение всех постов охраны.

Модуль 3 (Делопроизводство):

  • Паспорт учтен, инвентарный номер присвоен.
  • Журнал выдачи ведется нерегулярно. Не установлено, кто именно брал паспорт перед утечкой.
  • Обязательства о неразглашении отобраны у всех сотрудников, но инструктаж проводился формально.

Модуль 4 (Техническая защита):

  • Ответственный сотрудник сфотографировал страницу паспорта на личный мобильный телефон, чтобы «отправить начальнику охраны в WhatsApp».
  • СКЗИ в организации не внедрены.
  • Сотрудник уволен. Организация оштрафована по статье 13.14 Кодекса об административных правонарушениях на 200 000 рублей (юридическое лицо) и на 50 000 рублей (должностное лицо — руководитель).

Выводы:

  1. Ошибка в Модуле 2 (конкретное указание уязвимости) усугубила ущерб от утечки.
  2. Отсутствие контроля в Модуле 3 (журнал выдачи) не позволило оперативно установить виновного.
  3. Грубейшее нарушение Модуля 4 (запрет на мессенджеры и фотографирование) стало непосредственной причиной утечки.
  4. Формальный инструктаж (Модуль 3) не убедил сотрудника в серьезности последствий.

Системный вывод:
Уязвимость была заложена на этапе разработки паспорта, усугублена на этапе учета и реализована на этапе технической защиты. Это классический пример отсутствия системного подхода.

ЗАКЛЮЧЕНИЕ. НАПУТСТВИЕ СПЕЦИАЛИСТУ

Уважаемые коллеги!

Мы завершаем наш курс. Вы унесете с собой удостоверения о повышении квалификации, папки с раздаточным материалом, презентации и чек-листы. Но главное, что вы должны унести, — это изменение мышления.

Работа со служебной информацией ограниченного распространения — это не набор разрозненных запретов и требований. Это философия безопасности. Это привычка каждый раз, открывая паспорт безопасности, задавать себе три вопроса:

Первый вопрос. Имею ли я право это видеть?
Второй вопрос. Не создаю ли я сейчас уязвимость своими действиями?
Третий вопрос. Что будет, если этот документ завтра станет публичным?

Если эти три вопроса станут вашим профессиональным рефлексом — 90 процентов проблем будут решены еще до того, как возникнут.

Я хочу, чтобы вы запомнили пять аксиом, которые мы вывели за эти 72 часа:

Аксиома первая. Паспорт безопасности — это документ ограниченного доступа. Гриф «Для служебного пользования» — не украшение, а юридический статус.

Аксиома вторая. Уязвимость, описанная словами, — это информация. Уязвимость, привязанная к координатам, — это инструкция для злоумышленника.

Аксиома третья. Учет — это не для проверяющих. Учет — это для вас. Если вы не можете доказать, что документ был на месте, — считайте, его у вас украли.

Аксиома четвертая. Техническая защита — это не опция, а обязательное условие. Сейф должен быть прикреплен к полу, а электронная почта — забыта как способ пересылки ДСП.

Аксиома пятая. Система работает только тогда, когда работают все ее элементы. Нельзя быть немного беременной. Нельзя быть немного защищенным.

Ваша роль.

Вы — не просто специалисты по антитеррористической защищенности. Вы — хранители информации, от которой зависят жизни людей. Паспорт безопасности в руках злоумышленника — это оружие. Ваша задача — сделать так, чтобы это оружие никогда не попало не в те руки.

Это большая ответственность. Но я верю, что вы с ней справитесь.

Дальнейший путь.

Наш курс завершен, но ваше обучение продолжается. Законодательство меняется, появляются новые угрозы, совершенствуются средства защиты. Я призываю вас:

  • следить за изменениями в Постановление Правительства № 1233;
  • изучать ведомственные приказы, которые выходят в вашей сфере;
  • обмениваться опытом с коллегами;
  • не стесняться задавать вопросы контролирующим органам.

Итоговая аттестация.

 Вас ждет тестирование из 20 вопросов по всем модулям.  У вас есть все знания для успешной сдачи.

БЛОК 1
БЛОК 2
БЛОК 3
БЛОК 4
БЛОК 5