Защищенный документооборот

КОНСПЕКТ ЛЕКЦИЙ

По дисциплине:

«ДЕЛОПРОИЗВОДСТВО И РЕЖИМ СЕКРЕТНОСТИ»

Составитель: к.т.н., доцент каф. ИнОУП

Г.М.Тростянский

Тема 1. Защита информации в сфере делопроизводства.

Общие положения и нормативная база

Делопроизводство – это специфическое направление деятельности, которое связано с процессом документирования, т.е. с процессом составления, оформления, обработки и хранения документов.

Вопросы защиты информации в настоящее время актуальны для любой организации. Закон "Об информации, информационный технологиях и о защите информации" содержит статью 9, которой установлен порядок ограничения доступа к информации, в частности, в законе говорится о том, что ограничение доступа к информации, условия отнесения информации к информации ограниченного доступа и порядок защиты информации устанавливаются федеральными законами. Статьей 16 закона определен порядок защиты информации, который направлен на:

1) обеспечение защиты информации от несанкционированного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа,

3) реализацию права на доступ к информации.

В целях защиты информации обладатель информации или опе­ратор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

В соответствии с законодательством Российской Федерации информация ограниченного доступа подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Отнесение информации к государственной тайне осуществляется в соответствии с Законом Российской Федерации "О государственной тайне"} ^[1] Этот закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

К государственной тайне закон относит защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Законом установлены три степени секретности сведений, составляющих государственную тайну, - "секретно", "совершенно секретно", "особой важности", а также порядок проставления на документах соответствующего грифа секретности.

Указом Президента Российской Федерации установлен перечень сведений, составляющих государственную тайну^[2], а постановлением Правительства Российской Федерации порядок отнесения сведений, составляющих государственную тайну, к различным степеням секретности^[3].

Большая часть защищаемой информации в организации отно­сится к разряду конфиденциальной информации. К конфиденциальной информации относится ценная для организации информация, составляющая служебную, коммерческую, профессиональную и иную тайну, персональные данные и другие сведения. Перечень сведений конфиденциального характера определен Указом Президента Российской Федерации^[4]. В перечень включены следующие виды конфиденциальной информации:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

2. Сведения, составляющие тайну следствия и судопроизводства,

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ I которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

7. Порядок работы с различными видами конфиденциальной информации устанавливается законодательством: работа с персональными данными регулируется Федеральным законом "О персональных данных"^[5], с коммерческой информацией ограниченного доступа - Федеральным законом "О коммерческой тайне"^[6] и др.

8. На документах, содержащих конфиденциальную информацию, проставляется гриф ограничения доступа, за исключения ем документов, содержащих персональные данные. Законодательство не устанавливает единых грифов ограничения доступа к конфиденциальной информации и не подразделяет конфиденциальную информацию на категории по уровню доступа к ней. Законодательно определен лишь гриф ограничения дон ступа к документам, содержащим коммерческую тайну. Федеральный закон "О коммерческой тайне" содержит перечень» мер, которые должны выполняться для защиты конфиденциальной информации (ст. 10):

1. Определение перечня информации, составляющей коммерческую тайну;

2. Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3. Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была доставлена или передана;

4. Регулирование отношений по использованию информации, содержащей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5. Нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахожде­ния, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). Порядок работы с документами ограниченного доступа, как правило, регулируется не Инструкцией по делопроизводству, а специальными нормативными документами - правилами, инструкциями, положениями. В крупных организациях за работу с документами ограниченного доступа, как правило, отвечает специализированное подразделение - служба информационной безопасности, в небольших организациях ответственность за организацию конфиденциального документооборота может лежать на службе ДОУ;

6. Архивные документы, сроки временного хранения которых не истекли, передаются ликвидационной комиссией (ликвидатором) или конкурсным управляющим в упорядоченном состоянии на хранение в соответствующий государственный или муниципальный; архив на основании договора между ликвидационной комиссией! (ликвидатором) или конкурсным управляющим и государственным! или муниципальным архивом. При этом ликвидационная комиссия (ликвидатор) или конкурсный управляющий организует упорядочение архивных документов ликвидируемой организации, в том числе организации, ликвидируемой в результате банкротства.

Распоряжением Правительством Российской Федерации "Об обеспечении сохранности документов по личному составу"^[7] принято решение о том, что учредители вновь создаваемых юридических лиц должны включать в учредительные документы положения об обеспечении учета и сохранности документов по личному составу и о своевременной передаче их на государственное хранение при ликвидации организации.

Методическим документом, на основании которого осуществляется хранение документов в архиве организации, являются Основные правила работы архивов организаций^[8].

Негосударственные организации, являющиеся собственниками документов, сами обеспечивают хранение создаваемых и поступающих к ним документов или передают их на хранение в государственный, муниципальный или иной архив на основании договора после проведения экспертизы ценности документов.

Независимо от того, является ли организация источником комплектования и передает свои документы на хранение в государственный или муниципальный архив или является собственником своих документов и сама организует хранение документов, в организации должна проводиться экспертиза ценности документов в целях определения сроков хранения документов и их систематизации.

Для проведения экспертизы ценности документов в организации создается постоянно действующая экспертная комиссия (ЭК). ЭК является совещательным органом при руководителе организации и организует свою работу на основании положения о постоянно действующей экспертной комиссии организации, утверждаемого руководителем и разрабатываемого на основании Примерного положения ^[9] , разработанного Росархивом." Основными функциями ЭК является согласование номенклатуры дел организации, описей дел, передаваемых на хранение в архив и актов на выделения документов к уничтожению.

Основой систематизации документов в целях их последующего хранения в организации является номенклатура дел. Номенклатура дел закрепляет состав дел, создаваемых в организации, и сроки их хранения. Нормативными документами, на основании которых устанавливаются сроки хранения документов, являются перечни документов со сроками хранения.

При определении сроков хранения дел, включаемых в номенклатуру дел организации, используются типовые перечни со сроками хранения56 и перечни, разрабатываемые федеральными министерствами и иными органами управления и организациями для организаций, входящих в их систему.

Для определения сроков хранения управленческой докумен­тации используется Перечень типовых управленческих документов 2000 г., Перечень 1988 г. (действует 2-я часть перечня) используется при определении сроков хранения научно-исследовательской и опытно-конструкторской документации, документов по проектированию, строительству и реконструкции, производственной документации, документации по изобретательству, рационализации и патентно-лицензионной работе, по качеству продукции, техническому контролю, стандартизации, охране окружающей среды и автоматизированным системам. Документация по этим направлениям деятельности и составляет 2-ю часть перечня.

Тема 2. Организация защищенного документооборота.

Защищенный документооборот

Как технологический процесс документооборот представляет со­бой схему (совокупность маршрутов) движения человекочитаемых (традиционных), машиночитаемых и электронных документов по установленным пунктам их учета, рассмотрения, исполнения и хра­нения для выполнения творческих, формально-логических и тех­нических процедур и операций. При этом основной характеристи­кой движения документированной информации является его тех­нологическая комплексность, т.е. соединение в единую совокуп­ность управленческих, делопроизводственных и почтовых задач. До­кументооборот отражает весь «жизненный цикл» документа — пе­риод его активной жизни в управленческом процессе и период его достаточно пассивной архивной жизни. Происходит передача доку­ментированной информации не только в пространстве, но и во времени.

Конфиденциальные, как и открытые, документы находятся в постоянном движении. Перемещение конфиденциальных документов по множеству иерархических уровней управления создаст серьезные предпосылки для утраты ценной информации, что требует осуще­ствления защитных мер.

Документооборот как объект защиты представляет собой упо­рядоченную совокупность (сеть) каналов объективного, санкциони­рованного распространения конфиденциальной документированной информации в процессе управленческой и производственной деятель­ности пользователей (потребителей) этой информации.

При движении документов по инстанциям увеличивается число источников (сотрудников, баз данных, рабо­чих материалов и т.п.), обладающих ценными сведениями, и рас­ширяются потенциальные возможности утраты конфиденциаль­ной информации, разглашения ее персоналом, утечки по техни­ческим каналам, исчезновения носителя этой информации. Риск утраты конфиденциальной документированной информации су­ществует на всех стадиях и этапах движения документов, при вы­полнении любых процедур и операций.

Наиболее часто встречающимися угрозами (опасностями) кон­фиденциальным документам в документопотоках могут быть:

• несанкционированный доступ постороннего лица к документам, делам и базам данных за счет его любопытства или обманных, провоцирующих действий, а также случайных или умышленных ошибок персонала фирмы;

• утрата документа или его отдельных частей (листов, прило­жений, схем, копий, экземпляров, фотографий и др.), но­сителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;

• утрата информацией конфиденциальности за счет ее разгла­шения персоналом или утечки по техническим каналам, счи­тывания данных в чужих массивах, использования остаточ­ной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

• подмена документов, носителей и их отдельных частей с
целью фальсификации, а также сокрытия факта утери, хи­щения;

• случайное или умышленное уничтожение ценных докумен­тов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;

• гибель документов в условиях экстремальных ситуаций.
Для электронных документов угрозы особенно реальны, так как факт кражи информации практически трудно обнаружить. В отноше­нии конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда спе­циалистов, классифицируются по степени риска следующим образом:

• непреднамеренные ошибки пользователей, операторов, рефе­рентов, управляющих делами, работников службы КД, сис­темных администраторов и других лиц, обслуживающих ин­формационные системы;

• кражи и подлоги информации;

• стихийные ситуации внешней среды;

• заражение вирусами.

В соответствии с характером указанных выше угроз формиру­ются задачи обеспечения защиты информации в документопото­ках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной информа­ции от возможных опасностей является формирование защищен­ного документооборота и использование в обработке и хранении документов специализированной технологической системы, обес­печивающей безопасность информации на любом типе носителя.

Под защищенным документооборотом (документопотоком) по­нимается контролируемое движение конфиденциальной документи­рованной информации по регламентированным пунктам приема, об­работки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации.

Помимо общих для документооборота принципов защищенный документооборот основывается на ряде дополнительных принципов:

• ограничения доступа персонала к документам, делам и базам
данных деловой, служебной или производственной необходимостью;

• персональной ответственности должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и документам;

• персональной ответственности каждого сотрудника за сохран­ность доверенного ему носителя и конфиденциальность ин­формации;

• жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала, в том числе первых руководителей.

Несколько иное содержание приобретает в защищенном доку­ментообороте принцип избирательности в доставке и использова­нии конфиденциальной информации. В его основе лежит действу­ющая в фирме разрешительная (разграничительная) система Дос­тупа персонала к конфиденциальной информации, документам и базам данных. Целью избирательности является не только оперативность в адресной доставке документированной информации потребителю, но и доставка ему только той информации, работа с которой разрешена ему в соответствии с его функциональными обязанностями. Избирательность распространяется не только на поступившие документы, но и на документы, которые составля­ются персоналом на рабочих местах или с которыми сотрудники только знакомятся.

Защищенность документопотоков достигается за счет:

• одновременного использования режимных (разрешительных,
ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;

• нанесения отличительной отметки (грифа) на чистый носи­тель конфиденциальной информации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;

• формирования самостоятельных, изолированных потоков
конфиденциальных документов и часто дополнительного их разбиения на подпотоки в соответствии с уровнем конфи­денциальности перемещаемых документов;

• использования автономной технологической системы обра­ботки и хранения конфиденциальных документов, не соприкасающейся с системой обработки открытых документов;

• регламентации движения документов как внутри фирмы,
так и между фирмами, т.е. с момента возникновения мысли о необходимости создания документа и до окончания работы с документом и передачи его в архив;

• организации самостоятельного подразделения конфиденциальной документации или аналогичного подразделения, входящего (или не входящего) в состав службы безопасности или аналитической службы;

• перемещения документов между руководителями, исполнителями и иным персоналом только через службу КД.

Любому движению (перемещению, передаче) документа должны обязательно предшествовать операции по проверке комплектности, целостности и учету нового местонахождения документа. Вместе с тем дополнительные операции (защитные меры) не должны по­вышать трудоемкость работы с документами и увеличивать сроки их движения и исполнения.

Совокупность технологических стадий (функциональных элементов), сопровождающих потоки конфиденциальных доку­ментов, несколько отличается от аналогичной совокупности, свойственной потокам открытых документов. Так, входной документопоток включает в себя следующие стадии обработки конфиден­циальных документов:

• прием, учет и первичная обработка поступивших пакетов,
конвертов, незаконвертованных документов;

• учет поступивших документов и формирование справочно-
информационного банка данных по документам;

• предварительное рассмотрение и распределение поступивших документов;

• рассмотрение документов руководителями и передача доку­ментов на исполнение и технологические участки службы КД;

• ознакомление с документами исполнителей, использование или исполнение документов.

Выходной и внутренний документопотоки включают в себя сле­дующие стадии обработки конфиденциальных документов:

• исполнение документов (этапы; определение уровня грифа
конфиденциальности предполагаемого документа, учет носителя будущего документа, составление текста, учет подго­товленного документа, его изготовление и издание);

• контроль исполнения документов;

• обработка изданных документов (экспедиционная обработка
документов и отправка их адресатам; передача изданных внут­ренних документов на исполнение);

• систематизация исполненных документов в соответствии с но­менклатурой дел, оформление, формирование и закрытие дел;

• подготовка и передача дел в ведомственный архив (архив фирмы).

В состав всех документопотоков включается также ряд допол­нительных стадий обработки конфиденциальных документов:

• инвентарный учет документов, дел и носителей информации, не включаемых в номенклатуру дел;

• проверка наличия документов, дел и носителей информации;

• копирование и тиражирование документов;

•уничтожение документов, дел и носителей информации.
Стадии, составляющие тот или иной документопоток, практи­чески реализуются специализированной технологической системой обработки и хранения конфиденциальных документов.

Не нашли, что искали? Воспользуйтесь поиском: