Deloproizvodstvo-Uchebno-spravochnoe_posobie
.pdfСледовательно, технологический процесс учета конфиденци альных документов включает в себя ряд процедур, обязательных для любого вида учета и любого типа технологических систем обработки и хранения этих документов.
В процессе учета, распределения, рассмотрения, передачи по ступивших документов исполнителям и возврате документов вы полняется комплекс технологических и ограничительных опера ций, позволяющих обеспечить физическую сохранность докумен та и его частей, а также предотвратить разглашение и утечку информации, содержащейся в документе.
6.2. Исполнение и обработка подготовленных конфиденциальных документов
6.2.1. Составление, изготовление и издание конфиденциального документа
Под исполнением конфиденциального документа понимается процесс документирования управленческих решений и действий, результатов выполнения руководителями и сотрудниками орга низации поставленных задач и отдельных заданий, поручений, а также реализации функций, закрепленных за ними в должност ных инструкциях.
Факторами, инициирующими процесс исполнения, являются:
—получение руководителем, сотрудником (исполнителем) поступившего документа;
—письменное или устное указание вышестоящего руководи
теля;
—устный запрос на информацию или принятие решения от других организаций, учреждений и отдельных лиц;
—задания и поручения, включенные в рабочие планы, графи ки работы, должностные инструкции и другие организационные
иплановые документы;
—полезная информация, полученная из реферативных и ин формационных сборников, рекламных изданий.
250
в отличие от исполнения процесс использования документа предполагает включение его в информационно-документацион- ную систему, обеспечивающую исполнение других документов, выполнение управленческих действий и решений.
Для использования в работе обычно поступают законодатель ные акты, организационно-правовые, нормативные, распоряди тельные, справочно-информационные документы, разнообразные рекламные издания и научно-техническая информация.
Процесс ознакомления с конфиденциальным документом — это информирование сотрудника организации или иного заинте ресованного лица, осуществляемое в соответствии с резолюцией полномочного руководителя на конфиденциальном документе, о принятом этим руководителем решении или решении другой орга низационной структуры.
В ходе исполнения конфиденциальных документов могут воз никнуть следующие основные угрозы:
—утрата (разглашение, утечка) ценной информации за счет
еедокументирования на случайном носителе, не входящем в сфе ру контроля службы КД;
—подготовка к изданию документа, не обоснованного дело вой необходимостью или не разрешенного для издания, т. е. до кументирования определенной информации;
—включение в документ избыточных конфиденциальных све дений, что равносильно разглашению тайны фирмы;
—случайное или умышленное занижение грифа конфиденци альности сведений, включенных в документ;
—изготовление документа в условиях, которые не гарантиру ют сохранность носителя, конфиденциальность информации;
—утеря оригинала, черновика, варианта или редакции доку мента, его части, приложения к документу, умолчание этого фак та и попытка подмены утраченных материалов;
—сообщение содержания проекта конфиденциального или открытого документа постороннему лицу, несанкционированное копирование документа или его части (в том числе на неучтенной дискете);
—утечка информации по техническим каналам;
251
— ошибочные действия работника службы КД, особенно в части нарушения разрешительной системы доступа к документам.
Важно, что в отличие от исполнения открытых документов исполнение конфиденциальных документов представляет собой стадию, насыщенную различными технологическими этапами и процедурами, основными из которых являются:
—установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ;
—оформление и учет носителя для документирования вьщеленного комплекса конфиденциальной информации;
—составление и изготовление конфиденциального докумен та; издание конфиденциального документа.
Указанные этапы характеризуются не только регламентиро ванной технологией, но и жесткими правилами работы исполни телей с конфиденциальной информацией.
Общеизвестно, что в наибольшей безопасности находится кон фиденциальная информация, не зафиксированная на каком-либо носителе; ценная информация немедленно подвергается угрозе при возникновении необходимости ее документирования.
В связи с этим система защиты конфиденциальной информа ции должна начинать функционировать не после издания (подпи сания) конфиденциального документа, а заблаговременно, т. е. до создания будущего документа.
Прежде чем создать документ, следует установить, является ли данная информация конфиденциальной и какой уровень гри фа конфиденциальности ей должен быть присвоен в случае поло жительного ответа.
Своевременное установление грифа конфиденциальности све дений, подлежащих включению в будущий документ, — первый и основной элемент защиты документированной информации, по зволяющий обеспечить относительно надежную безопасность тай ны организации.
Основу присвоения документу грифа конфиденциальности должны составлять: перечень конфиденциальных сведений орга низации, требования партнеров, а также перечень конфиденци альных документов организации.
252
Система грифования (маркирования) документов не гаранти рует сохранность информации, однако, позволяет четко органи зовать работу с документами, в частности сформировать систему доступа к документам персонала.
Гриф конфиденциальности, или гриф ограничения доступа к традиционному, машиночитаемому или электронному докумен ту, представляет собой реквизит (элемент, служебную отметку, помету, пометку) формуляра документа, свидетельствующий о конфиденциальности содержащихся в документе сведений и про ставляемый на самом документе и (или) сопроводительном пись ме к нему.
Информация и документы, отнесенные к коммерческой (пред принимательской) тайне, имеют несколько уровней грифа огра ничения доступа, соответствующих различным степеням конфи денциальности информации:
первый, массовый уровень — грифы "Конфиденциально", "Конфиденциальная информация". Не следует ставить гриф "Ком мерческая тайна", так как грифом обозначается не вид тайны, а характер ограничения доступа к документу;
второй уровень (достаточно редкий) — грифы "Строго кон фиденциально", "Строго конфиденциальная информация", "Кон фиденциально. Особый контроль".
Они присваиваются документу лично первым руководителем фирмы, им изменяются или отменяются. Использование и хране ние документов с графом второго уровня также организуется пер вым руководителем с возможным привлечением руководителя службы КД.
На документах, содержащих сведения, отнесенные к служеб ной тайне, ставится гриф "Для служебного пользования".
Написание грифа ограничения доступа, указываемого на до кументе, не сокращается. Под обозначением грифа указываются номер экземпляра документа, срок действия грифа и иные усло вия его снятия.
Гриф располагается в соответствии с ГОСТ Р 6.30-2003 на пер вом и титульном листах документа, а также на обложке дела (тома) в правом верхнем углу. На электронных документах и докумен-
253
Tax, записанных на любых машинных носителях, гриф обознача ется на всех листах.
Ниже грифа или ниже адресата могут обозначаться ограничи тельные пометы: "Лично", "Только в руки", "Только адресату", "Лично в руки" и др. При регистрации конфиденциального доку мента к его номеру добавляется сокращенное обозначение грифа конфиденциальности, например: № 37к, 89ск, 97дсп.
Документы и информация, конфиденциальные в целом, в сво ей массе (например, документация службы персонала, службы безопасности, документы, отнесенные к профессиональной тайне, и т. д.), как правило, не маркируются, потому что в полном объе ме обладают строгим ограничением доступа к ним персонала.
На ценных, но не конфиденциальных документах может про ставляться помета (отметка, надпись, штамп), предполагающая особое внимание к сохранности таких документов: "Собственная информация фирмы", "Информация особого внимания", "Копии не снимать", "Хранить в сейфе" и др. Могут использоваться до полнительные цветовые идентификаторы ценных и конфиденци альных документов и дел для их быстрого визуального вьщеления и контроля использования в процессе работы персонала.
Гриф конфиденциальности присваивается документу:
—исполнителем при подготовке к составлению проекта доку мента; руководителем структурного подразделения (направления деятельности) или руководителем организации при согласовании или подписании документа;
—работником службы КД при первичной обработке посту пающих документов, если конфиденциальный для организации документ не имеет грифа ограничения доступа.
Изменение или снятие грифа конфиденциальности документа производится при изменении степени конфиденциальности и цен ности содержащихся в нем сведений.
Другой принципиально важный вопрос, решаемый руковод ством организации, службой КД и исполнителями до начала со ставления текста документа, — определение необходимости пред варительной регистрации носителя (листов бумаги, специальных тетрадей и блокнотов с отрывными листами, листов ватмана,
254
фотопленки, магнитных носителей и т. п.), на котором будут фор мироваться черновик и беловик документа.
Назначение такой регистрации — обеспечение безопасности информации, контроль за ней не только в подлиннике документа, но и во всех черновых материалах, вариантах и редакциях доку мента, отдельных записях и подготовительных материалах.
Основными задачами учета носителей конфиденциальной ин формации (или, как часто их называют в научной литературе, документов предварительного учета) являются:
—закрепление факта присвоения носителю (например, обыч ным листам бумаги, дискете и др.) категории конфиденциальнос ти, ограниченного доступа;
—присвоение носителю учетного номера и включение его в справочно-информационный банк для обеспечения контроля за использованием и проверки наличия;
—документирование фактов перемещения носителя между сотрудниками организации, закрепление персональной ответ ственности за его сохранность;
—контроль работы исполнителя над документом и своевре менного уничтожения носителя или его частей, потерявших прак тическое значение.
Все типы носителей конфиденциальной документированной информации должны быть учтены до начала составления проек тов черновика, вариантов и беловика будущего документа.
При этом соблюдаются следующие условия защиты информа ции:
—формирование основы для последующей персональной от ветственности сотрудника за сохранность носителя, повышенно го внимания к нему;
—предупреждение возможности нецелевого использования носителя или его неправильного хранения;
—формирование грифа конфиденциальности будущего доку мента;
предупреждение возможности тайной подмены носителя, изъя тия из него или включения в него отдельных частей (листов, кус ков фото-, видеоили магнитной пленки), для чего фиксируются
255
технические характеристики носителя (количество листов, длина ленты, наличие склеек и др.);
—предупреждение технической возможности тайной разбор ки кассет, пеналов, футляров, конвертов и иных оболочек, содер жащих технические носители информации;
—включение носителя в сферу регулярного контроля сохран ности и местонахождения.
В службах 1СД коммерческих фирм бумажные носители тек стовой и технической информации ставятся на инвентарный (пе речневый) учет. В этих структурах учет носителей целесообразен только на уровне руководства фирмы, так как именно здесь концен трируется вся действительно ценная информация. На уровне испол нителей документирование элементов конфиденциальной информа ции ведется на носителях, не учитываемых предварительно.
Обязательному инвентарному учету и маркировке на всех уров нях управления подлежат магнитные носители информации, для которых любые угрозы представляют значительно большую опас ность, чем для бумажных, а обнаружение реализации этих угроз возможно только на основе сложных аналитических наблюдений. Маркировка предусматривает нанесение на носитель инвентар ного номера, даты регистрации, наименования структурного под разделения и фамилии исполнителя.
Надписи делаются механическим путем, стойким красителем, которым одновременно окрашиваются винты и другие детали, скрепляющие корпус кассеты, дискеты или футляра с целью сиг нализирования об их несанкционированном вскрытии.
Этап оформления и учета носителей конфиденциальной ин формации, вьщачи их исполнителям и приема от исполнителей выполняется в службе КД как в традиционном, так и автоматизи рованном режимах и включает в себя следующие процедуры:
—первичное оформление носителя, в процессе которого вы полняются специализированные операции, позволяющие в даль нейшем контролировать подлинность носителя и сохранность всех его элементов;
—традиционный или автоматизированный учет носителя, при котором документируется факт его включения в категорию носи-
256
телеи ограниченного доступа с присвоением ему инвентарного номера;
—окончательное оформление носителя, в процессе которого учетные данные переносятся на носитель и его составные части для их идентификации;
—выдача учтенного, укомплектованного носителя информа ции исполнителю, закрепление за исполнителем персональной ответственности за сохранность носителя, его целостность и це левое использование;
—выдача исполнителю при необходимости дополнительных учтенных листов, форм и бланков;
—прием от исполнителя носителя информации, в процессе которого проверяются комплектность носителя, наличие оправ дательных отметок за отсутствующие элементы и документиро вание факта передачи носителя в службу КД;
—ежедневная проверка правильности учета носителей и их наличия.
При работе с исполнителями работник службы КД педантич но решает следующие задачи защиты информации:
—предотвращение выдачи носителя лицу, не связанному с составлением конкретного документа или исключенному из со става лиц, допускаемых к данному носителю (составляемому до кументу);
—выявление факта утраты носителя или его частей, органи зация поиска носителя и проведения служебного расследования;
—предотвращение нарушения принципа персональной ответ ственности за сохранность носителя и фиксируемой в нем инфор мации;
—обнаружение факта подмены носителя другим, фальсифи кации части носителя;
—обнаружение фактов случайной или умышленной порчи носителя (изменения формата, нумерации листов, вырывания ли стов, их загрязнения, склеивания и т. п.);
—предотвращение несанкционированной и не оправданной деловой необходимостью передачи носителя между руководите лями и исполнителями;
257
— предотвращение несанкционированного ознакомления по сторонних лиц с содержанием информации, зафиксированной на носителе, в процессе его выдачи исполнителю и приема от испол нителя.
Следовательно, до начала составления черновика конфиден циального документа должен быть выполнен ряд принципиаль но важных технологических этапов обеспечения сохранности тай ны фирмы, которые дают возможность в будущем свести к мини муму риск утраты ценной информации, документирование которой пока только предполагается.
Этап составления текста конфиденциального документа ме тодически мало отличается от аналогичной творческой, формаль но-логической и технической работы, проводимой при формиро вании содержания открытого документа.
Однако исполнитель должен помнить, что конфиденциальная информация документируется только при наличии серьезных объективных потребностей, а не субъективного желания сотруд ника фирмы.
Кроме того, с точки зрения защиты информации важно учи тывать, что процесс ее документирования предполагает распрос транение информации во времени и пространстве, которое объек тивно увеличивает число опасных источников и каналов ее утра ты. Уязвимость информации резко возрастает.
Передача конфиденциальной информации по заранее установ ленной нормами права или договорами деловой необходимости партнерам, учредителям, клиентам и другим юридическим и фи зическим лицам допускается только по их письменному запросу с указанием конкретного состава и назначения требуемых сведений.
Информация всегда передается в письменном виде за подпи сью полномочного руководителя фирмы с соблюдением порядка обращения с отправляемыми конфиденциальными документами. Передача конфиденциальных сведений в устной форме не разре шается.
Составление текстов особо ценных конфиденциальных доку ментов обычно относится к компетенции руководства фирмы. Менее значимые конфиденциальные документы по отдельным
255
функциональным вопросам составляются децентрализованно ру ководителями структурных подразделений (направлений деятель ности) фирмы и иногда допущенными к этой работе исполните лями (опытными менеджерами, экспертами).
При документировании конфиденциальной информации сле дует учитывать, что:
—объем включаемых в документ конфиденциальных сведений должен быть минимальным и определяться реальной ситуацией;
—документ всегда должен касаться только одного вопроса (темы) — это важно не столько для быстрого доведения докумен та до исполнителя, сколько для обеспечения четкого функциони рования системы доступа персонала к конфиденциальной инфор мации, необходимой только данному сотруднику, и предотвра щения несанкционированного ознакомления сотрудников организации и иных лиц с излишней информацией;
—необходимо заблаговременно предусмотреть, что сводные плановые, организационные, распорядительные (особенно при казы по основной деятельности), отчетные и другие подобные документы, составляемые в виде сложных многоадресных схем текстовой части заданий и исполнителей, в полном объеме не дол жны рассылаться по подразделениям и исполнителям; такие до кументы доводятся до исполнителей избирательно, в виде состав ленных в рамках этих документов функциональных персонифи цированных приложений-заданий или отдельных документов; документы, сохраняющие исторически сложившуюся сложную, многостраничную традиционную форму текста, являются серьез ным каналом утраты ценной информации;
—информация, относящаяся к тайне организации, должна быть максимальным образом локализована в конкретной части документа, его разделе, приложении, отдельной дискете, элект ронном массиве с усложненной системой доступа (например, боль шой по объему не конфиденциальный документ может иметь раз дел, вьщеленный в отдельную часть и содержащий комплекс ин формации ограниченного доступа);
—включаемые в документ конфиденциальные фотоиллюст рации, графики, схемы и т. п. наклеиваются на учтенные листы,
259