Технологические системы защиты и обработки конфиденциальных документов

Под технологической системой обработки и хранения конфи­денциальных документов понимается упорядоченный комплекс организационных и технологических процедур и операций, обес­печивающих служб и технических средств, предназначенных для практической реализации задач, стоящих перед функциональными элементами (стадиями) документопотока. Технология обработки и хранения конфиденциальных и открытых документов базируется на единой научной и методической основе, призванной решать задачи обеспечения документированной информацией управлен­ческие и производственные процессы. Одновременно технологи­ческая система обработки и хранения конфиденциальных доку­ментов решает и другую не менее важную задачу — обеспечение защиты носителей информации и самой информации от потен­циальных и реальных угроз их безопасности.

В отличие от открытых документов к обработке конфиденциаль­ных документов предъявляются следующие серьезные требования:

• централизация всех стадий, этапов, процедур и операций по
обработке и хранению конфиденциальных документов;

• учет всех без исключения конфиденциальных документов;

• операционный учет технологических действий, производимых с традиционным (бумажным) или электронным носи­телем (в том числе чистым) и документом, учет каждого факта «жизненного цикла» документа;

• обязательный контроль вторым работником службы КД пра­вильности выполнения учетных операций;

• учет и обеспечение сохранности не только документов, но
и учетных форм;

• ознакомление или работа с документом только на основа­нии письменной санкции (разрешения) полномочного руководителя, письменного фиксирования всех обращений пер­сонала к документу;

• обязательная подпись руководителей, исполнителей и технического персонала при выполнении любых действий с документом в целях обеспечения персональной ответственности сотрудников фирмы за сохранность носителя и конфиден­циальность информации;

• строгий контроль выполнения персоналом введенных в фирме
правил работы с конфиденциальными документами, делами и базами данных, обязательными для всех категорий персо­нала;

• систематические (периодические и разовые) проверки наличия документов у исполнителей, в делах, базах данных, на машинных носителях и т.д., ежедневный контроль сохранности, комплектности, целостности и местонахождения каждого конфиденциального документа;

• коллегиальность процедуры уничтожения документов, дел
и баз данных;

• письменное санкционирование полномочным руководителем
процедур копирования и размножения бумажных и электронных конфиденциальных документов, контроль техноло­гии выполнения этих процедур.

Технологическая система обработки и хранения конфиденциаль­ных документов распространяется не только на управленческую (деловую) документацию, но и на конструкторские, технологи­ческие, научно-технические и другие аналогичные документы, публикации, нормативные материалы и др., хранящиеся в спе­циальных библиотеках, информационных центрах, ведомствен­ных архивах, документированную информацию, записанную на любом типе носителя информации.

Технологические системы обработки и хранения конфиденциаль­ных документов могут быть традиционными, автоматизированными и смешанными.

Традиционная (делопроизводственная) система основывается на ручных методах работы человека с документами и является универсальной. Она надежно, долговременно обеспечивает за­щиту документированной информации как в обычных, так и в экстремальных ситуациях. В связи с этим стадии защищенного документооборота в большинстве случаев технологически реали­зуются методами и средствами именно традиционной системы обработки и хранения конфиденциальных документов, а не ав­томатизированной.

Система одинаково эффективно оперирует как традиционными (бумажными) документами, так и документами машиночитаемыми, факсимильными и электронными. Трудоемкость множества технических и формально-логических процедур и операций обычно снижается за счет включения в технологи­ческий процесс организационной и вычислительной техники, что в целом не меняет тип системы.

Вместе с тем система харак­теризуется низкой степенью оперативности доставки докумен­тов потребителям информации, невысокой эффективностью спра­вочной, поисковой и контрольной работы по документам, по­требностью в значительном количестве персонала, обслуживаю­щего систему.

Ведение конфиденциального делопроизводства централизуется в едином подразделении аппарата управления — службе КД, фун­кционально не связанной с подразделением, обрабатывающим от­крытые документы. В некрупных предпринимательских структурах функция централизованной обработки и хранения конфиденци­альных документов возлагается на управляющего делами, менед­жера по безопасности или даже секретаря-референта (референта) первого руководителя.

Служба КД может включать с себя следующие функциональ­ные группы (участки деятельности):

• группу учета поступивших документов;

• группу учета носителей конфиденциальной информации;

• группу учета и обработки изданных документов;

• группу учета номенклатурных дел — архив фирмы;

• группу инвентарного учета документов;

• бюро изготовления документов;

• копировально-множительную группу;

• контрольно-методическую группу.

Службу конфиденциальной документации необходимо распо­лагать в помещении, смежном с приемной первого руководителя фирмы. В этом помещении ведется обработка и хранение всех кон­фиденциальных документов. Правом входа в рабочее помещение службы обладает только первый руководитель фирмы и руководи­тель службы безопасности.

Как отмечалось выше, конфиденциальные документы доста­точно часто не входят в сферу управленческой (деловой) доку­ментации и относятся к технической документации (конструкторской, технологической, научно-исследовательской и т.д.), кото­рая по своей сути чаще всего содержит действительно ценные све­дения, изобретения и ноу-хау фирмы. Несмотря на специфический характер этой документации, она также обрабатывается и хранится в службе КД — группе технической документации. В предпринима­тельских структурах, имеющих незначительный объем конфиден­циальных документов или в которых основная масса документов является конфиденциальной (например, в банках, страховых компа­ниях), обработка конфиденциальных документов может осуще­ствляться в подразделении или сотрудником, ведущим дело-про­изводство по открытым документам. Не следует забывать о том, что преимущества и эффективность традиционных (часто простей­ших) делопроизводственных систем в небольших фирмах далеко не исчерпаны и их надежность в отношении гарантированной за­щиты конфиденциальной информации достаточно велика.

Автоматизированная технология (как и традиционная, дело­производственная) является обеспечивающей и обслуживает кон­кретные потребности персонала в конфиденциальной информации. Автоматизированная система, создаваемая в службе КД или службе безопасности, должна в принципе обеспечивать:

• сокращение значительного объема рутинной работы с документами и числа технических операций, выполняемых пер­соналом службы ручными методами;

• реализацию возможности для персонала фирмы работать с элек­тронными документами в режиме безбумажного документо­оборота;

• достаточную гарантию сохранности и целостности информа­ции, регулярного контроля и противодействия попыткам не­санкционированного входа в банк данных;

• аналитическую работу по определению степени защищен­ности информации и поиску возможных каналов ее утраты;

• единство технологического процесса с режимными требова­ниями к защите информации (допуск, доступ, регламента­ция коллегиальности выполнения некоторых процедур, операций и т.п.);

• персональную ответственность за сохранность конфиденци­альных сведений в машинных массивах и на магнитных носителях вне ЭВМ;

• возможность постоянного учета местонахождения традицион­ного или электронного документа и проверки его наличия и целостности в любое время;

• предотвращение перехвата информации из ЭВМ по техни­ческим каналам, наличие надежной охраны помещений, в ко­торых находится вычислительная техника, охрана компьюте­ров и линий компьютерной связи;

• исключение технологической связи единичного компьютера или локальной сети, предназначенных для обработки кон­фиденциальных документов с сетями, обеспечивающими ра­боту с открытой информацией, исключение использования их линий связи, выходящих за пределы охраняемой зоны (здания, территории).

Автоматизированная технологическая система обработки и хра­нения конфиденциальных документов по сравнению с аналогич­ными системами, оперирующими общедоступной информацией, имеет ряд принципиальных особенностей:

• архитектурно компьютеры, обрабатывающие значительные объемы конфиденциальной информации, могут объединяться в локальную сеть как в рамках службы КД, так и с охва­том руководителей и основных специалистов; однако в любом варианте локальная сеть базируется на главном компьютере (сервере), находящемся у системного администра­тора службы КД; автоматизированные рабочие места, ра­бочие станции могут быть увязаны в локальную сеть только по вертикали;

• в некрупных фирмах конфиденциальная информация обра­батывается на уровне первого руководителя и его референта на единичном защищенном компьютере, не имеющем вы­хода в какую-либо локальную сеть;

• обязательное наличие иерархической и утвержденной первым руководителем фирмы системы разграничения доступа к информации, хранящейся как в машинных массивах, так и на магнитных носителях вне ЭВМ; охват системой разграничения доступа не только персонала фирмы, но и персона­ла службы КД;

• закрепление за каждым пользователем строго определенного
состава массивов электронной информации и магнитных носителей; исключение возможности для пользователя «поко­паться» в базе данных системы;

• автоматизированное выполнение пользователями операций справочного и поискового обслуживания, составления и иногда изготовления документов, контроля исполнения докумен­тов, работы с электронными документами, факсами и элек­тронными налогами бумажных документов;

• сохранение информационной базы учетной функции (в правовом понимании, а также как элемента формирования стра­хового массива информации) и функции персональной от­ветственности за традиционной технологической системой с использованием учетных карточек и иных форм (описей), изготовляемых не вручную, а автоматически — на принтере ЭВМ; автоматическая допечатка в указанные формы изме­нений и дополнений при движении документов;

• обязательный учет конфиденциальных электронных документов, находящихся на всех магнитных носителях и в ма­шинных массивах, постоянная проверка службой КД реаль­ного наличия этих документов на носителях и в массивах, их целостности, комплектности и отсутствия несанкциони­рованных копий;

• необходимость исключения технической возможности копирования информации, содержащейся в компьютере (ра­бочей станции) пользователя, на другие магнитные носите­ли и работы компьютера в комплекте с принтером (изъятие из ЭВМ дисководов и т.п.);

• жесткое соблюдение персоналом правил работы с конфиденциальной электронной информацией, в частности правила, которое гласит, что все операции с информацией в компью­тере должны быть письменно санкционированы полномоч­ным должностным лицом, подотчетны службе КД и прото­колироваться в машинном журнале; протоколы подлежат ре­гулярному контролю и анализу специалистами службы КД или службы безопасности;

• изъятие конфиденциальной информации из базы данных ком­пьютера (рабочей станции) по окончании работы с ней (на­пример, в конце рабочего дня, при длительных перерывах в работе и т.п.) и перенос информации на дискеты, подлежа­щие сдаче в службу КД.

Рассмотрение и исполнение электронных конфиденциальных до­кументов и электронных аналогов бумажных документов разреша­ется только при наличии сертифицированной системы защиты ком­пьютеров и локальной сети, включающей комплекс программно-аппаратных, криптографических и технических мер защиты базы дан­ных, компьютеров и линий связи. Помещения, в которых конфиденциальная информация обрабатывается на ЭВМ, должны иметь защиту от технических средств промышленного шпионажа, надеж­ную круглосуточную охрану и пропускной режим. Кроме того, сле­дует учитывать, что при автоматизированной обработке объективно резко увеличивается количество носителей (источников), содержа­щих конфиденциальные сведения: традиционный бумажный доку­мент, разнообразные машинограммы карточек, описей документов, многочисленные записи информации на магнитных носителях и ви­зуальная информация на экране дисплея. Недостатком обработки ин­формации на ЭВМ является также необходимость постоянного дуб­лирования информации на нескольких носителях с целью исключе­ния опасности ее утраты или искажения по техническим причинам.

Указанные выше особенности усложняют систему, но без их соблюдения нельзя гарантировать сохранность конфиденциальной информации, эффективность защиты информационных массивов в ЭВМ от несанкционированного доступа, разрушения, копиро­вания и подмены.

Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и внемашинной защиты кон­фиденциальных сведений. В этой связи важное актуальное значе­ние имеет защита технических носителей конфиденциальной ин­формации (машиночитаемых документов) на внемашинных ста­диях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемого документа. Подобная проблема несущественна для носителей, содержащих от­крытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне ма­шины, в настоящее время эффективно используются зарекомен­довавшие себя принципы иметоды обеспечения безопасности до­кументов в традиционной технологической системе.

В настоящее время наиболее широко используется смешанная тех­нологическая система обработки и хранения конфиденциальных документов, совмещающая традиционную и автоматизированную технологии. Выборочно автоматизируются: справочная и поисковая работа по бумажным документам, процедура составления и изго­товления документов и учетных форм, контроль исполнения, сер­висные задачи. Остальные стадии и процедуры выполняются в русле традиционной, делопроизводственной технологии (распределение бумажных документов, их рассмотрение, исполнение, оперативное и архивное хранение документов). В силу специфики обрабатывае­мых сведений о документах и самих документов автоматизирован­ные системы делопроизводственной ориентации имеют в большин­стве случаев информационно-справочный характер. Недостаток сме­шанной технологии состоит в неполном использовании преиму­ществ и функциональных возможностей компьютерной техноло­гии, отчего сохраняются рутинные делопроизводственные опера­ции, которые мешают совершенствовать документооборот.

Не нашли, что искали? Воспользуйтесь поиском: