Документооборот как объект защиты представляет собой совокупность (сеть) каналов распространения конфиденциальной документированной информации по потребителям в процессе управленческой и производственной деятельности.
Движение документированной информации нельзя распродать только как механическое перемещение документов по инстанциям, как функцию почтовой доставки корреспонденции адресатам. Основной
характеристикой такого движения является его технологическая комплексность, то есть соединение в единое целое управленческих, делопроизводственных и почтовых задач, определяющие в совокупности содержание перемещения документов.
При движении документов (в том числе электронных) по инстанциям создаются потенциальные возможности потери этой информации за счет расширения числа источников, обладающих ценной информацией.
Угрозы документам в документопотоках включают в себя:
похищения, утери документа или его отдельных чаще (приложений, экземпляров, листов, вклеек, вставок, чорновиків, редакций и те);
копирование бумажных и электронных документов, фото-, видео-, аудиодокументов и баз данных;
подмена документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;
тайное или разрешенное ознакомление с документами и базами данных, запоминание и пересказ информации злоумышленнику;
дистанционный просмотр документов и изображений дисплея с помощью специальных технических средств;
ошибочные действия персонала при работе с документами (нарушение разрешительной системы, порядка обработки документов, правил работы с документами и т.д.);
случайное или злонамеренное уничтожение ценных документов и баз данных, их несанкционированная модификация, искажение и фальсификация,
считывание данных в чужих массивах за счет работы с остаточной информации на копировальной ленте, бумаге, дискам
ЭВМ;
маскировка под зарегистрированного пользователя;
утечка информации по техническим каналам при обсуждении и
диктовка текста документа, изготовление документов.
Главным направлением защиты документированной информации (документов) от всех видов угроз является формирование защищенного документооборота и использование в обработке и зберіганій, документов технологической системы, обеспечивающей безопасность информации на любом типе носителя. За счет этого достигается возможность контроля конфиденциальной информации в ее источниках и каналах распространения.
Помимо общих для документооборота принципов защищенный документооборот базируется на ряде дополнительных принципов:
персональной ответственности сотрудников за сохранность носителя и
тайну информации;
ограничении деловой необходимости доступа персонала к документам,
делам и базам данных;
операционном учета документов и контроля за их сохранением в процессе движения, рассмотрения, исполнения и использования;
жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала.
В крупных предпринимательских структурах с большим объемом документов в потоках защищенность документооборота достигается за
счет:
формирования самостоятельных, изолированных потоков конфиденциальных (грифованих) документов и, часто, дополнительного дробления их на изолированные потоки в соответствии с уровнем конфиденциальности (уровнем грифа) документов, которые перемещаются;
использования централизованной автономной технологической системы обработки и хранения конфиденциальных документов, изолированной от системы обработки других документов;
организации самостоятельного подразделения (службы) конфиденциальной документации или аналогичного подразделения, входящего в состав службы безопасности, аналитической службы фирмы.
В предпринимательских структурах с небольшим составом штатных сотрудников и объемом обрабатываемых документов (например, в малом бизнесе), а также в структурах, основная масса документов в которых является конфиденциальной (например, в банках, страховых компаниях), конфиденциальные документы могут не выделяться из общего документопотока и обрабатываться в рамках единой технологической системы. Подразделение конфиденциальной документации в таких предпринимательских структурах обычно не создается. Функции централизованной обработки и хранения конфиденциальных документов возлагаются на управляющего делами, референта или иногда опытного секретаря-референта фирмы.
При любом варианте построения защищенного документооборота приняты для безопасности информации меры не должны увеличивать сроки движения и исполнения документов.
Одним из важнейших требований к защищенному
документооборота является избирательности в доставке и использовании персоналом ценной информации.
Избирательность предназначена не только для обеспечения оперативности в получении пользователем ценной информации, но и ограничения в доставке ему той информации, работа с которой ему разрешена в соответствии с его функциональными обязанностями. В основе избирательности в доставке и использовании конфиденциальных документов лежит действующая в фирме разрешительная (разграничительная) система доступа персонала к конфиденциальной информации, документам, делам и базам данных. Система в данном случае предусматривает целенаправленное дробление конфиденциальной информации между сотрудниками на составные элементы, каждый из которых в отдельности значительной ценности не представляет.
Защита документированной информации в потоках достигается одновременным использованием как разрешительных (разграничительных) мер, так и комплексом технологических процедур и операций, которые входят в систему обработки и хранения документов, обеспечивает рассмотрение, исполнение, использование и движение документов.
В защищенном документообороте в большинстве случаев используется традиционная (ручная, діловодна) технологическая система обработки и хранения конфиденциальных документов. В отдельных случаях автоматизируются (при сохранении традиционного учета документов) справочные и поисковые задания, контроль выполнения. Технологическая система приобретает смешанного характера.
Необходимо подчеркнешь, что технологические системы обработки и хранения конфиденциальных и открытых документов базируются на единой научной и методической основе. Они едины по структуре. Однако между ними
наблюдаются некоторая разница. Так, технологическая система обработки и хранения открытых документов (діловодна, автоматизированная или смешанная) предназначена для решения задач в одной сфере — документационного обеспечения управления.
В свою очередь, технологическая система обработки и хранения конфиденциальной документов решает задачи не только в указанной сфере, но и в сфере защиты информации конфиденциальных документов при работе с ними персонала. К этим задачам можно отнести следующие:
предупреждение несанкционированного доступа любого лица к документу, его чаще, вариантов, чорновиків, копий;
обеспечение физической сохранности документов и носителей
конфиденциальной информации;
обеспечение сохранности тайны фирмы, ценной информации, которая
содержится в документах.
Кроме того, технологическая система обработки и хранения конфиденциальных документов распространяется не только на управленческую (деловую) документацию, но и на конфиденциальные конструкторские, технологические, научно-технические и другие подобные документы, документированную информацию, записанную на различных технических носителях. Защита технических носил конфиденциальной информации (машиночитаючих документов) имеет важное значение особенно на позамашиних стадиях их обработки и хранения. Именно на этих стадиях велика вероятность потери носителя, его копирования или уничтожения, подмены и фальсификации.
Обработка и хранение конфиденциальных документов на различных стадиях их движения имеет свои особенности.
Обработка документов, поступающих и отправляемых В процессе обработки конфиденциальных документов, надежный, решаются следующие задачи защиты информации и ее носителей:
не допустить попадания в данную фирму конфиденциальных документов
других фирм и организаций;
убедиться, что конверты, пакеты с конфиденциальными документами
не открывались на пути прохождения от отправителя до
адресата;
предыдущие утрату документов после вскрытия пакета;
исключить возможность ознакомления технических работников фирмы с
конфиденциальными документами;
исключить возможность ознакомления любых работников фирмы с
конфиденциальными документами, имеющими пометку «Лично»;
не допустить утерю документов и их частей за счет неполного
изъятия их из конвертов;
убедиться в комплектности документа, наличии всех листов, экземпляров и иных частей, отсутствии факта подмены документа. Пакеты, конверты, содержащие конфиденциальные документы, поступающие с почтового отделения связи (ценные, заказные и простые отправления), от курьеров учреждений и фирм, от посетителей. Эти документы могут также приходить по факсимильном связи, электронной почте, по телеграфной и телетайпной связи.
Трудность выделения конфиденциальных документов из общего потока корреспонденции состоит в том, что на пакетах, конвертах и часто на самих документах не ставится гриф конфиденциальности. Объясняется это не только сугубо индивидуальным подходом к присвоєнім
информации статуса конфіденціальної, но и нежеланием отправителя обращать внимание посторонних лиц на гриф ограничения доступа.
Учитывая эту особенность, открытия документов, предварительное рассмотрение и распределение всей корреспонденции, которая поступает, выполняется квалифицированным сотрудником службы конфиденциальной документации фирмы, который хорошо знает структуру фирмы, функции структурных подразделений и сотрудников, состав конфиденциальной информации Документы, поступающие по линиям факсимильной связи, также просматриваются этим сотрудником с целью определения возможной их конфиденциальности.
Сотрудник открывает все пакеты, конверты, бандероли (кроме тех, что имеют пометку «Лично»), проверяет правильность адресования и комплектность документов. Документы, которые поступили, он распределяет на две группы: имеющие гриф или какую-либо отметку ограничения доступа и не имеющие такой отметки.
Документы второй группы сравнивается с перечнем документов фирмы, отнесенных к категории конфиденциальных. Подобный перечень регулярно корректируется в соответствии с изменениями в деятельности фирмы, возникновением новых видов работы, составленными прогнозами и планами. Если совпадает наименование или тема документа, который поступил с одной из позиций перечня, на документе проставляется гриф ограничения доступа необходимого уровня конфиденциальности. Одновременно ставится срок действия грифа и условия его снятия, указанные в перечне.
Если документ поступил с грифом ограничения доступа, то этот гриф не может быть снят даже в случае, когда данный документ не входит в указанный выше перечень. Гриф может быть изменен только в сторону повышения уровня конфиденциальности, потому что фирма
обязана защищать не только свои секреты, но и секреты всех юридических и физических лиц, установивших контакт с данной фирмой.
Все конфиденциальные документы, поступившие принадлежат немедленному учета. Документы, не отнесенные к разряду конфиденциальных, повторно внимательно рассматриваются и передаются сотруднику, занятому обработкой и хранением открытых документов.
В процессе обработки конфиденциальных отсылаемых документов решаются следующие задачи защиты информации и ее носителей:
исключить возможность тайного открытия пакета и несанкционированного ознакомления с документами в процессе их пересылки (передачи) адресату, подмены документов и листов;
ограничить возможность утери, кражи или подмены пакета с конфіденційнім документом;
подтвердить факт отправки документа и правильность оформления
этого факта в учетных формах;
исключить ошибочную отправку документа, пакета другому
адресату, безосновательную розсипку документов ряду адресатов.
Конвертирование и отправка конфиденциальных документов осуществляется сотрудником службы конфиденциальной документации фирмы. Отправка документов лично исполнителями не допускается.
Разрешением на отправку исходящего конфиденциального документа является подписанное первым руководителем фирмы сопроводительное письмо к документу или разрешительная загаю, сделанная лично руководителем в учетной карточке, если документ отправляется без сопроводительного письма.
Во время пересылки конфиденциальных документов по почте или по каналам факсимильной или другой оперативной связи текст документа шифруется.
Конфиденциальные документы запаковываются в два пакета, т. е. производится их двойное пакетирование. На внутреннем пакете указываются: гриф конфиденциальности, фамилия лица, которому документ адресуется, номера вложенных документов, при необходимости ставится пометка «Лично». Внутренний пакет опечатывается бумажными наклейками, на которых ставится печать «Для пакетов или печать службы конфиденциальной документации фирмы. Внешний пакет оформляется в соответствии с Почтовыми правилами, указанные выше сведения на него не выносятся.
Пакеты с конфиденциальными документами пересылаются ценными отправлениями. Передача их в почтовое отделение фиксируется в почтовом реестре, копия которого с почтовым штемпелем подшивается в соответствующем деле.
Чаще всего пакеты: с конфиденциальными документами передаются адресатам курьерами (нарочними) фирмы. В этом случае двойное преобразование, как правило, не применяется. Все необходимые отметки делаются на одном світлонепроникному пакете, который опечатывается. Передача документов курьером фиксируешь, в разносной книге или реестре, расписке.
Следовательно, обработка конфиденциальных документов, поступивших и отправляемых связана с выполнением ряда дополнительных процедур и отличается усложненной технологией, которая позволяет решить не только чисто экспедиционные задачи, но и задачи защиты информации и носителя от возможного несанкционированного доступа.
Учет конфиденциальных документов и формирование справочно-информационного банка данных по документам
Учет конфиденциальных документов предусматривает не только регистрацию факса создания (издания) или получения документа, но и обязательно фиксацию ссека перемещений документа по инстанциям, руководителям и исполнителям в процессе рассмотрения, исполнения и использования документов. Обжег этих документов и их хранение всегда в централизованные подразделения конфиденциальной документации фирмы или референта первого руководителя.
Гласной целью учета конфиденциальных документов является обеспечение их физической сохранности. Учет конфиденциальных документов решает следующие задачи:
фиксирование факта поступления или издания документа; фиксирование местонахождения документа;
обеспечение поиска документов во время проверил наличия или необходимости обращения к документу;
обеспечение справочно-информационной и контрольной работы по
документах;
предупреждение утраты копий и экземпляров документа, чорновиків и редакций, приложений и отдельных листов.
Для решения. этих задач целесообразно вести следующие виды
учета конфиденциальных документов фирмы:
учет входящих документов;
учет подготовленных, изданных исходящих (отправляемых) и внутренних документов;
инвентарный (выделенный) учет документов, дел и носителей конфиденциальной информации.
При любом виде учета индексирования конфиденциальных документов базируется на валовой нумерации документов всего потока на протяжении календарного года. Преимущество валовой нумерации по ложится в гарантированном сохранении номера, выделенного для данного документа, записи исходных сведений о документе и карточке, заведенной на документ. Ни один номер не может исчезнуть, а карточка выпасть из систематизированного по номерам массива.
Серьезным недостатком валовой нумерации документов является отсутствие ее привязки к месту хранения документа. Однако к валовому номеру документа может добавлятися смысловой индекс, что означает дело по номенклатуре, в котором будет храниться документ, подразделение-исполнитель и те.
Номер конфиденциального документа, поступившего, проставляется не только во входящем штампе на первом листе документа, но и на первом листе каждого приложения в штампе «К вх. № __» с указанием года регистрации. Во входящем штампе документа дополнительно проставляется количество листов основного документа и приложений с указанием грифа их конфиденциальности, например: «Количество листов: 1 к + 5 нк». При наличии в пакете поступивший нескольких документов каждый из них учитывается за отдельным номером.
В журналах и карточках учета залікуються не только выходные данные
о документе, но и сведения о его движении с момента поступления или
издания до окончания исполнения и подшивки в дело, отправки
адресату или уничтожения. Каждой запись заверяется росписями
сотрудники службы конфиденциальной документации и исполнителя или второго сотрудника этой службы.
При заполнении на конфиденциальных документ одного экземпляра учетной карточки возникает необходимость ведения контрольного журнала. Журнал предназначенной для обеспечения последовательности присвоения документам порядковых учетных номеров, контроля за наличием документов и карточек, ускорения поиска документов. Напротив учетного номера документа в журнале указывается фамилия лица, расписалась в карточке за получение документа, т. е. фиксируется местонахождение документа. При заполнении на документ двух или более экземпляров, карты функцию контрольного журнала выполняет валовая картотека.
Традиционный учетный и справочно-информационный банк данных по конфиденциальным документам обычно включает в себя:
справочную картотеку на неисполненные документы, в которой первые экземпляры карточек располагаются по исполнителям;
валовую картотеку с разделами неисполненных (для вторых экземпляров карточек) и исполненных (дня первых экземпляров карточек) документов, в которой карточки располагаются в последовательности учетных номеров документов;
контрольную картотеку, в которой дополнительные экземпляры карточек располагаются по срокам исполнения документов;
справочную картотеку на исполненные документы, в которой вторые экземпляры карточек располагаются по корреспондентам.
Если на конфиденциальные документы ведется справочная картотека, аналогичная картотеке на открытые документы, то часть картотеки на неисполненные документы формируется по исполнителям, а в части на исполненные документы карточки располагаются по рубрикам номенклатуры дел (если нумерация документов ведется по каждому делу отдельно) или в валовой последовательности номеров документов. В обоих вариантах экземпляры карточки размещаются одновременно в обе части картотеки.
По окончании рабочего дня второй сотрудник службы конфіденційнії документации проверяет правильность регистрации документов и их наличие.
В учетных формах не разрешается делать какие-либо исправления с помощью корректирующей вещества или подчистки бритвой. Исправления аккуратно вписываются работником службы конфиденциальной документации рядом или выше ошибочной записи и заверяются его росписью. Ошибочная запись зачеркивается одной чертой. Учетные формы не должны содержать конфиденциальные сведения. Вместе с тем журналы и картотеки содержат в совокупности данные ограниченного распространения, в связи с чем их следует хранить в условиях, исключающих доступ к ним посторонних лиц.
Перемещения конфиденциальных документов между сотрудниками службы конфиденциальной документации фиксируется е передаточном журнале.
Автоматизированный обжег конфиденциальных документов включает в
себя следующие процедуры:
ввод в систему исходных сведений о документах и формирование машинного (электронного) журнала (картотеки);
контроль правильности внесенных записей и их соответствие
«рахованим документам;
распечатка на бумажном носителе введенных записей (отдельно по каждому документу или по всем документам за рабочий день) для формирования традиционного журнала (картотеки);
распечатка при необходимости учетной формы (листа журнала,
карточки) выдачи документа.
В электронный журнал конфиденциальные документы вносятся в хронологической последовательности их поступления в службу конфиденциальной документации.
Бумажные распечатки записей исходных сведений о документе внесешь в электронный журнал, обеспечивают учетную функцию удостоверения факта поступления или издания документа, его местонахождения и места хранить. Распечатки в комплексе формируют традиционной учетной журная (картотеку), в котором записи о документах располагаются в валовом порядке. Журнал е одновременно:
описанием конфиденциальных документов; страховым массивом учетных данных о документах на случай повреждения или уничтожения электронного журнала.
Автоматизированный справочно-информационный банк данных по конфиденциальным документам имеет вспомогательное значение и ведется вместе с банком данных на бумажных носителях. Автоматизированный банк данных реализует функцию справочного и поискового обслуживания пользователей, контроля исполнения документов и иногда работы персонала с электронными аналогами бумажных документов. Учетная функция сохраняется за традиционным банком данных.
Сведения об изменении местонахождения документа вносятся в электронный журнал, который выполняет в данном случае роль контрольного журнала. После выполнения делается новая распечатка полных сведений о документе, которая размещается в традиционную картотеку вместо распечатки исходных сведений о документе, которая там находилась.
Выдача документов исполнителям осуществляется по роздруківкам учетного журнала (карточек учета) документов, в которых фиксируется роспись за получение и возврат документов. Документы (например, инвентарного учета) могут также выдаваться под роспись в распечатке карточки учета выдачи документа. В крупных предпринимательских структурах иногда используется метод «электронной подписи» за получение и возврат электронного документа. Подобная автоматизированные системы должны базироваться на четких принципах и методах разграничения доступа к информации, иметь комплексную защиту от злоумышленника.
Учет изданных конфиденциальных документов дополнительно решает следующие задачи:
предупреждение потери чорновиків и вариантов документа;
подтверждение фактов уничтожения всех черновых материалов, которые
возникших в процессе исполнения документа;
подтверждение факта передачи документа на отправку или
исполнение, передачи его другим сотрудникам службы
конфиденциальной документации,
Для учета изданных конфиденциальных документов исполнитель сдает сотруднику службы конфиденциальной документации:
все экземпляры подписанного руководителем документа;
приложения к документу (при наличии);
черновики основного документа и приложений, редакции и варианты
документа, рабочие записи;
документ, который стал основой для составления данного документа.
О сдаче и уничтожении указанных материалов сотрудник службы конфиденциальной документации делает отметку в учетных карточках документов и во внутренних описях документов, находящихся у исполнителя. Отметка в учетной карточке заверяется росписями указанного сотрудника и исполнителя.
Факт уничтожения черновика и других материалов подтверждается также отметкой на копии документа, остающейся в деле службы конфиденциальной документации. Например: «Черновик уничтожен. Дата. Подпись сотрудника службы документации». Черновики и другие материалы уничтожаются в присутствии исполнителя путем сожжения или измельчения, что исключает возможность восстановления текста. Попытки исполнителей оставить в своем распоряжении какие-либо неучтенные материалы по выполненному конфиденциальному документу должны
рассматриваться руководством фирмы как грубое нарушение трудовой
ДИСЦИПЛИНЫ.
Приложения к изданным конфиденциальным документам являются самостоятельными документами и имеют свои учетные номера по соответствующим видам учета.
Выданным конфіденціальним распорядительным документам и протоколам присваивается не только общий валовой учетный номер, но и порядковый номер в данной группе документов.
На инвентарный (списковнй, переліковий) учет берутся следующие конфиденциальные документы:
те, которые не принадлежат подшивке в дела, например сброшюрованные документы, документы большого формата, чертежно-графические, научно-технические документы, в том числе те, которые являются приложениями к основным документам, фотографии, рисунки;
изъятые по какой-либо причине из дела и переведенные на выделенное хранение (создав самостоятельное дело), например, особо ценные документы, документы более широкого доступа, чем другие документы, и т.д.;
технические носители информации (чистые или с записанной информацией), например дискеты, видео — и аудиокассеты, кассеты с фотопленкой и т.д.;
бумажные носители информации особо ценных документов для составления чорновиків, оригиналов документов, например рабочие тетради, отдельные листы бумаги, тетради с отрывными листами и т.п.;
журналы учета документов и учетные картотеки, картотеки учета выдачи дел и документов, законченные производством дела.
На инвентарный учет после заполнения справочных карточек могут браться все конфиденциальные документы фирмы, если объем таких документов невелик.
Картотека (журнал:) инвентарного учета конфиденциальных документов ведется непрерывно. Номера каждого года продолжают номера предыдущих лет. Инвентарный номер указывается на документе в верхнем левом углу первого листа, например: «Инв. №__ и дата». Одновременно может формироваться электронный доказательный массив по документам.
Поставленные на инвентарный учет технические носители информации маркируются. Маркировка предусматривает нанесение на них следующих данных: инвентарного номера, номера или названия структурного подразделения, фамилии исполнителя. Надписи делают окрашенных веществом, которое имеет хорошую механическую устойчивость. Этим же веществом окрашиваются винты или другие детали, скрепляющие корпус кассеты, дискеты или футляра с целью сигнализации об их несанкционированном открытии.
Учет конфиденциальных документов позволяет не только обеспечить сохранность документов и организовать по ним справочно-информационную и контрольную работу, но и проводить периодические и непериодические проверки наличия документов.
Целью проверки наличия конфиденциальных документов является установление фактического соответствия имеющихся документов записям в учетных формах, их сохранности, целостности и комплектности. Такие проверки побуждают исполнителей к тщательному соблюдению правіш работы с документами и заботы об их физическом сохранении.
Проверка проводится от учетных данных к документам, примірникам документов и составным частям каждого экземпляра.
• Регламентированные, обязательные проверки наличия конфиденциальных документов проводятся ежеквартально и по окончании календарного года. Не регламентированы проверки осуществляются при смене руководителей подразделений, увольнении исполнителя, после окончания экстремальной ситуации, выявления фактов угрозы информации и в других случаях. Если регламентированные проверки наличия охватывают все конфиденциальные документы фирмы, то при нерегламентованій проверке ограничиваются конкретной частой документации.
Проверки наличия документов проводятся специально назначенной комиссией, в которую обычно входят: заместитель руководителя фирмы, руководитель службы безопасности и другие лица. По результатам проверки составляется акт.
Ежедневные проверки наличия документов (самопроверки) проводятся по окончании рабочего дня всеми сотрудниками, работающими с конфиденциальными документами.
Итак, главной целью учета конфиденциальных документов является, прежде всего, формирование информационной базы, обеспечивающей постоянное бодрствование за сохранностью каждого документа и своевременное фиксирование его местонахождения.