Этапы подготовки конфиденциальных документов

Общеизвестно, что в наибольшей безопасности находится кон­фиденциальная информация, не зафиксированная ни на каком но­сителе. Угрозы ценной информации появляются немедленно при возникновении мысли о необходимости ее документирования. В связи с этим система защитыконфиденциальной информации должна начинать функционировать не после издания (подписания) конфи­денциального документа, а заблаговременно, т.е. до момента нане­сения на чистый носитель первых знаков будущего документа. Перед реализацией мысли о создании документа перво­начально решаются вопросы: а) является ли данная информация конфиденциальной и, если да, то б) какой уровень грифа конфи­денциальности ей должен быть присвоен.

Своевременное установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ, является первым и основным элементом защиты документированной инфор­мации, позволяющим обеспечить относительно надежную безопас­ность тайны фирмы.

В основе присвоения документу грифа конфиденциальности должны лежать перечень конфиденциальных сведений фирмы, требования партнеров, условия контрактов, а также перечень конфиденциальных документов фирмы. Система грифования (мар­кирования) документов не гарантирует сохранности информа­ции, однако позволяет четко организовать работу с документа­ми и, в частности, сформировать систему доступа к документам персонала.

Гриф конфиденциальности или гриф ограничения доступа к традиционному, машиночитаемому или электронному документу представляет собой реквизит (элемент, служебную отметку, помету, пометку) формуляра документа, свидетельствующий о конфиден­циальности содержащихся в документе сведений и проставляемый на самом документе и (или) сопроводительном письме к нему.

Информация идокументы, отнесенные к коммерческой тайне, имеют несколько уровней грифа ограничения доступа, соответ­ствующих различным степеням конфиденциальности информации.

Первый, массовый, уровень — грифы «Конфиденциально», «Кон­фиденциальная информация». Второй уровень достаточно редкий — грифы «Строго конфи­денциально», «Строго конфиденциальная информация», «Конфи­денциально. Особый контроль». Этот гриф присваивается доку­менту лично первым руководителем фирмы, им изменяется или отменяется. Исполнение, использование и хранение документов с этим грифом также организуется первым руководителем с возможным привлечением руководителя службы КД. Исполнителям документы с этим грифомне передаются. На документах, содержащих сведения, отнесенные к служеб­ной тайне, ставится гриф «Дли служебного пользования» или «Кон­фиденциально».

Гриф ограничения доступа, указываемый на документе, пишет­ся полностью и не сокращается. Под обозначением грифа указывает­ся номер экземпляра документа, срок действия грифа и иные усло­вия его снятия. Гриф располагается в соответствии с ГОСТ Р6.30-2003 на первом и титульном листах документа, а также на обложке дела (тома) в правом верхнем углу. На электронных документах и доку­ментах, записанных на любых машинных носителях, гриф обозна­чается на всех листах. Ниже грифа или ниже адресата могут обозна­чаться ограничительные пометы типа: «Лично», «Только в руки», «Только адресату», «Лично в руки» и др. При регистрации конфи­денциальных документов к его номеру добавляется сокращенное обо­значение грифа конфиденциальности, например: № 37к, 89ск, 97дсп.

Документы и информация, конфиденциальные в целом (на­пример, документация службы персонала, службы безопасности, документы, отнесенные к профессиональной тайне, и т.д.), как правило, не маркируются, потому что в полном объеме обладают строгим ограничением доступа к ним персонала.

Гриф конфиденциальности присваивается документу следующими лицами:

• исполнителем при подготовке к составлению проекта документа;

• руководителем структурного подразделения (направления дея­тельности) или руководителем фирмы при согласовании или подписании документа;

• работником службы КД при первичной обработке поступа­ющих документов, если конфиденциальный для фирмы до­кумент не имеет грифа ограничения доступа.

Изменение или снятие грифа конфиденциальности документа производится при изменении степени конфиденциальности и ценности содержащихся в нем сведений. Основаниями для этих дей­ствий являются: соответствующая корректировка перечней кон­фиденциальных сведений или документов фирмы; истечение уста­новленного срока действия грифа; наличие события, при котором гриф должен быть изменен или снят (например: опубликование ноу-хау в печати, патентование изобретения и др.); установление факта неправильности присвоения грифа документу.

Руководители всех рангов и исполнители несут персональную ответственность за своевременное иправильное установление, из­менение и снятие грифа конфиденциальности. Фактическое изме­нение или снятие грифа осуществляет должностное лицо, подпи­савшее (утвердившее) документ, а также первый руководитель фирмы.

Принципиально важным вопросом, решаемым забла­говременно руководством фирмы, службой КД и исполнителями, т.е. до начала составления текста документа, является определение необходимости предварительной регистрации носителя (листов бу­маги, специальных тетрадей и блокнотов с отрывными листами, листов ватмана, фотопленки, магнитных носителей и т.п.), на ко­тором будет формироваться черновик и беловик документа.

Назначение учета носителей конфиденциальной информации состоит в том, чтобы обеспечить безопасность информации, конт­роль за ней не только в подлиннике документа, но и во всех черновых материалах, вариантах и редакциях документа, отдель­ных записях и подготовительных материалах. На чистом носителе информации ставится избранный гриф конфиденциальности бу­дущего документа. Носителями документированной конфиденциальной информа­ции могут быть:

• для традиционных текстовых документов — специальный блокнот с отрывными листами и корешком, выполняющим функцию учета листов, нанесения отметок о целевом их использовании; рабочая тетрадь для больших по объему до­кументов; отдельные пронумерованные листы бумаги, ти­пографские формы и бланки документов;

• для чертежно-графических документов — пронумерованные листы ватмана, кальки, пленки, координатной бумаги и т.п.;

• для машиночитаемых документов — маркированные и прону­мерованные магнитные ленты, диски, дискеты, карты и т.п.;

• для аудио- и видеодокументов — маркированные и пронумерованные кассеты с магнитной пленкой, лазерные диски, кассеты с кинопленкой и т.п.;

• для фотодокументов — маркированные и пронумерованные
кассеты с фотопленкой, фотобумага, микрофиши, слайды, кассеты с микрофотопленкой.

Основные задачи учета носителей конфиденциальной инфор­мации или, как часто их называют в научной литературе, — доку­ментов предварительного учета следующие:

• закрепление факта присвоения носителю категории конфиденциальности, ограниченного доступа;

• присвоение носителю учетного номера и включение его в справочно-информационный банк для обеспечения контроля за использованием и проверки наличия;

• документирование фактов перемещения носителя между со­трудниками фирмы, закрепление персональной ответствен­ности за его сохранность;

• контроль работы исполнителя над документом и своевре­менного уничтожения носителя или его частей, потерявших практическое значение.

При учете носителей реализуются следующие требования обес­печения защиты информации:

• формирование основы для последующей персональной ответственности сотрудника за сохранность носителя, повышенного внимания к нему;

• предупреждение возможности нецелевого использования носителя или его неправильного хранения;

• формирование грифа конфиденциальности будущего доку­мента;

• предупреждение возможности тайной подмены носителя,
изъятия из него или включения в него отдельных частей
(листов, кусков фото-, видео- или магнитной пленки); для чего фиксируются технические характеристики носи геля (ко­личество листов, длина ленты, наличие склеек и др.);

• предупреждение технической возможности тайной разборки
кассет, пеналов, футляров, конвертов и иных оболочек, содержащих технические носители информации;

• включение носителя в сферу регулярного контроля сохран­ности и местонахождения.

В службах КД коммерческих фирм бумажные носители тексто­вой и технической информации ставятся на инвентарный (переч­невый) учет. Специальный учет носителей текстовой информации не ведется. Кроме того, в этих структурах учет носителей целесооб­разен только на уровне руководства фирмы, так как именно здесь концентрируется вся действительно ценная информация. На уров­не исполнителей документирование элементов конфиденциальной информации ведется на неучитываемых предварительно носителях. Однако не следует думать, что неучитываемый носитель — это любой кусок бумаги, на котором можно фиксировать конфиден­циальные сведения и который затем можно смять и выбросить в мусорную корзину. Неучитываемый носитель — это блокнот или' тетрадь с пронумерованными листами, наличием заверительной надписи и росписью целевого использования каждого листа. Обяза­тельно учитываются типовые формы и бланки документов. На чис­тых листах бумаги ставится штамп службы КД, листы нумеруются. У носителя может отсутствовать учетный номер, но в опись доку­ментов, находящихся у исполнителя, он обязательно вносится. Ис­полнитель в любой момент должен быть готов отчитаться об ис­пользовании каждого листа.

В производственных и исследовательских фирмах, обладающих оригинальными технологиями и производственными секретами типа «ноу-хау», конфиденциальные документы на всех уровнях управ­ления целесообразно составлять только на предварительно учтен­ных носителях информации.

Обязательному инвентарному учету и маркировке на всех уров­нях управления подлежат магнитные носители информации, для которых любые угрозы представляют значительно большую опас­ность, чем для бумажных, а обнаружение реализации этих угроз возможно только на основе сложных аналитических наблюдений. Маркировка предусматривает нанесение на носитель инвентарного номера, даты регистрации, наименования структурного подразде­ления и фамилии исполнителя. Надписи делаются механически стойким красителем. Одновременно этим же веществом окраши­ваются винты и иные детали, скрепляющие корпус кассеты, дискеты или футляра с целью сигнализации об их несанкциони­рованном вскрытии. Этапы оформления и учета носителей конфиденциальной ин­формации,выдачи их исполнителям и приема от исполнителей выполняются в службе КД как в традиционном, так и автомати­зированном режимах и включают в себя следующие процедуры:

• первичное оформление носителя, в процессе которого выпол­няются специализированные операции, позволяющие в даль­нейшем контролировать подлинность носителя и сохранность всех его элементов;

• традиционный или автоматизированный учет носителя, при котором документируется факт включения носителя в кате­горию носителей ограниченного доступа с присвоением ему инвентарного номера;

• окончательное оформление, носителя, в процессе которого учетные данные переносятся на носитель и его составные части для их идентификации;

• выдача учтенного, укомплектованного носителя информа­ции исполнителю, закрепление за исполнителем персональной ответственности за сохранность носителя, его целост­ность и целевое использование;

• выдача исполнителю при необходимости дополнительных уч­тенных листов, форм и бланков;

• прием от исполнителя носителя информации, в процессе
которого проверяются комплектность носителя, наличие оп­равдательных отметок за отсутствующие элементы и документирование факта передачи носителя в службу КД;

• ежедневная проверка правильности учета носителей и их на­личия.

Следовательно, до начала составления черновика конфиден­циального документа должен быть выполнен ряд принципиально важных технологических этапов обеспечения сохранности тайны фирмы, которые дают возможность в будущем свести к миниму­му риск утраты ценной информации, чье документирование пока только предполагается.

Этап составления текста конфиденциального документа ме­тодически мало отличается от аналогичной творческой, формально­логической и технической работы, проводимой при формирова­нии содержания открытого документа. Однако исполнителю сле­дует всегда помнить, что конфиденциальная информация доку­ментируется только при наличии серьезных объективных потреб­ностей, а не субъективного желания сотрудника фирмы. Конфи­денциальные документы составляются в строго определенных слу­чаях, например: когда процесс или результат какой-то работы подлежит обязательному отражению в конкретных документах (обязательному документированию) или когда наличие этих до­кументов или переписки диктуется реальной необходимостью, т.е. отсутствием условий для решения конфиденциального воп­роса путем личного (но не телефонного) общения между парт­нерами.

Составление текстов особо ценных конфиденциальных доку­ментов обычно централизуется на уровне руководства фирмы. Ме­нее значимые конфиденциальные документы по отдельным функ­циональным вопросам составляются децентрализованно руководи­телями структурных подразделений (направлений деятельности) фирмы и иногда допущенными к этой работе исполнителями (опытными менеджерами, экспертами). Любые черновики, варианты, редакции конфиденциальных документов (в том числе электрон­ных), относящиеся к ним материалы, записи, записки и т.п., составляются на заблаговременно подготовленных носителях.

При документировании конфиденциальной информации сле­дует учитывать, что: - объем включаемых в документ конфиденциальных сведений
должен быть минимальным и определяться реальной ситуа­цией;

- документ всегда должен касаться только одного вопроса (темы),
что важно не столько для быстрого доведения документа до
исполнителя, сколько для обеспечения четкого функционирования системы доступа персонала к конфиденциальной ин­формации, необходимой только данному сотруднику, и предотвращения несанкционированного ознакомления сотруд­ников фирмы и иных лиц с излишней информацией;

- необходимо заблаговременно предусмотреть, чтобы сводные плановые, организационные, распорядительные (особенно при­казы по основной деятельности), отчетные и другие подобные документы, составляемые в виде сложных многоадресных схем текстовой части заданий и исполнителей, в полном объеме не рассылались по подразделениям и исполнителям; такие доку­менты доводятся до исполнителей избирательно, в виде со­ставленных в рамках этих документов функциональных персо­нифицированных приложений-заданий или отдельных доку­ментов; документы, сохраняющие исторически сложившуюся сложную, многостраничную традиционную форму текста, яв­ляются серьезным каналом утраты ценной информации;

- информация, относящаяся к тайне фирмы, должна быть мак­симальным образом локализована в конкретной части доку­мента, его разделе, приложении, отдельной дискете, элект­ронном массиве с усложненной системой доступа (напри­мер, большой по объему неконфиденциальный документ может иметь раздел, выделенный в отдельную часть и со­держащий комплекс информации ограниченного доступа);

- включаемые в документ конфиденциальные фотоиллюстра­ции, графики, схемы и т.п. наклеиваются на учтенные листы, их количество оговаривается в сопроводительном письме или специальной записи;

- не допускается снимать копии и делать выписки из ранее
изданных конфиденциальных документов без разрешения со­ответствующего должностного лица или организации-автора;

- конфиденциальные показатели (формулы, выводы, резуль­таты наблюдений, опытов, описания технологических процессов и т.п.) должны фиксироваться в документе только один раз; при необходимости повторного их описания делает­ся ссылка на документ, в котором они были ранее отражены;

- в неконфиденциальных документах не допускаются намеки на наличие конфиденциальных сведений или их описание в
произвольной форме;

- сопоставление плановых и отчетных показателей деятельнос­ти фирмы, результаты перспективных маркетинговых иссле­дований, аналитические выводы по производству и продаже продукции, параметры новой технологии, характеристики ноу-хау и т.п. допускается документировать и хранить только на
уровне первого руководителя фирмы в документах, делах, базах данных с грифом «Строго конфиденциально»;

- не допускается включение в неконфиденциальные докумен­ты сведений, составляющих интеллектуальную собственность или коммерческую тайну других фирм или лиц (даже при отсутствии соответствующего пункта в договоре о сотрудни­честве);

- для обеспечения высокого уровня конфиденциальности до­кументов, пересылаемых обычной почтой, передаваемых по незащищенным каналам связи и хранящимся в компьютерах, целесообразно решить вопрос о шифровке информации.

Не нашли, что искали? Воспользуйтесь поиском: