ПОЗНАВАТЕЛЬНОЕ

Оси и плоскости тела человека - Тело человека состоит из определенных топографических частей и участков, в которых расположены органы, мышцы, сосуды, нервы и т.д.

Отёска стен и прирубка косяков - Когда на доме не достаёт окон и дверей, красивое высокое крыльцо ещё только в воображении, приходится подниматься с улицы в дом по трапу.

Дифференциальные уравнения второго порядка (модель рынка с прогнозируемыми ценами) - В простых моделях рынка спрос и предложение обычно полагают зависящими только от текущей цены на товар.

Состав и направления защиты документированной информации

123

В современных условиях повышающегося информационного обмена обязательным элементом функционирования любого объекта является информационная безопасность. С появлением новых технологий (компьютеры и оргтехника) защитить информацию становится все труднее. Если говорить о деятельности государственных органов, то защите подлежит не только внутренняя информация о деятельности государственного органа, но и персональные данные, которые хранятся и обрабатываются в государственном органе и подлежат защите в соответствии с законодательством о персональных данных[10].

Безопасность ценной документируемой информации определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение[11].

Злоумышленником признается недобросовестное лицо, действующее либо в собственных интересах, либо в интересах третьих лиц (агенты иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельные преступные элементы, психически больные лица и др.). Понятие «злоумышленник» тесно связано с понятием «постороннее лицо», то есть любое лицо, не имеющее непосредственного отношения к деятельности государственного органа, а также государственные служащие, не имеющие права доступа к конкретному документу, информации, базе данных[12].

Документируемая информация, используемая государственным или муниципальным органом, является информацией, представляющей для него значительную ценность, поскольку вверяется ему гражданами или организациями в связи с осуществлением государственно-властных полномочий или функций.

Информация, которая подлежит защите в органах государственного или муниципального управления, обычно разделяется на два вида:

– техническая, технологическая: методы выполнения государственных или муниципальных функций;

– персональные данные граждан и организаций, предоставленные в соответствии с требованиями закона[13].

Выявление и регламентация реального состава информации, представляющей ценность для государственного или муниципального органа и составляющей тайну его деятельности, – основополагающие части системы защиты информации. Состав ценной информации фиксируется в специальном перечне, определяющем:

– срок и уровень (гриф) ее конфиденциальности (то есть недоступности для всех),

– список государственных (муниципальных) служащих, которым предоставлено право использовать эти сведения в своей работе[14].

Документы, содержащие ценную информацию, входят в состав информационных ресурсов государственного или муниципального органа, которые могут быть:

а) открытыми (доступными для работы государственных (муниципальных) служащих без специального разрешения) и

б) ограниченными для доступа – либо к государственной тайне или к персональным данным[15].

Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне. Конфиденциальность отражает ограничение, которое накладывает собственник информации на доступ к ней других лиц, то есть собственник устанавливает правовой режим этой информации в соответствии с законом. Вместе с тем к конфиденциальным документам нельзя относить учредительные документы, уставы предпринимательских структур, финансовую документацию, сведения о заработной плате персонала и другую документированную информацию, необходимую правоохранительным и налоговым государственным органам[16].

Под конфиденциальным документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения, которые относятся к негосударственной тайне и составляют интеллектуальную собственность юридического или физического лица. Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите[17].

Некоторые авторы настойчиво проводят мысль, что конфиденциальное делопроизводство существенно отличается от открытого, является самостоятельным видом деятельности, мотивируя это тем, что оно:

– распространяется как на управленческую, так и на производственную деятельность;

– включает в себя не только работу с документами, но и с их проектами, черновиками и др.;

– решает две задачи: документационное обеспечение всех видов конфиденциальной деятельности и защиту информации при работе с конфиденциальными документами;

– конфиденциальные документы не регистрируются, а учитываются[18].

Исходя из этого, конфиденциальное делопроизводство, по их мнению, должно вестись отдельно от открытого.

При этом авторы предлагают объединение документов, содержащих коммерческую и служебную тайны «одним делопроизводством», так как «… эти документы практически полностью идентичны по технологическим процедурам их составления, обработки, обращения, хранения и защиты». Такое понимание приводит к одной технологии работ с различными объектами защиты.

Конфиденциальное делопроизводство не участвует в документировании научной, проектной, конструкторской и некоторых других видов деятельности, обеспечивающихся соответствующими нормативными документами[19].

В то же время, открытое делопроизводство распространяется в части документирования не только на управленческую, но и на отдельные специальные системы документации. В открытом делопроизводстве не учитываются черновики и проекты документов, но никто не запрещает это делать.

К конфиденциальным в государственных структурах относятся документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения (называемые в чиновничьем обиходе документами для служебного пользования), содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати[20].

Называть конфиденциальные документы секретными или ставить на них гриф секретности не допускается.

Особенностью конфиденциального документа является то, что он одновременно представляет собой:

– массовый носитель ценной, защищаемой информации;

– основной источник накопления и объективного распространения этой информации, а также ее неправомерного разглашения или утечки;

– обязательный объект защиты.

Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до многих лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность[21].

Оставшиеся конфиденциальными исполненные документы, сохраняющие ценность для деятельности фирмы, формируются в дела в соответствии с номенклатурой дел. Период нахождения конфиденциальных документов в делах может быть кратковременным или долговременным в зависимости от ценности информации, содержащейся в документах дела. Период конфиденциальности документов определяется по указанному выше перечню конфиденциальных сведений и зависит от специфики деятельности фирмы.

Конфиденциальные документы, как и открытые, находятся в постоянном движении во времени и пространстве, что отражает их объективную сущность как носителя информации, необходимой руководителям и сотрудникам фирмы для выполнения функциональных обязанностей и принятия решений.

В технологическом аспекте документооборот представляет собой процесс движения человекочитаемых (бумажных), машиночитаемых и электронных документов по установленным пунктам их учета, рассмотрения, исполнения и хранения для выполнения творческих, формально-логических и технических процедур и операций. Перемещение конфиденциальных документов по множеству иерархических уровней управления создает серьезные предпосылки для утраты ценной информации, требует осуществления защитных мер в отношении документопотоков и документооборота в целом[22].

Документооборот как объект защиты представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации (документов) в процессе управленческой и производственной деятельности пользователей (потребителей) этой информации. Основной характеристикой движения информации является технологическая комплексность, то есть объединение задач, обеспечивающих управленческие, делопроизводственные и почтовые функции. Документооборот отражает весь «жизненный цикл» документа[23].

Принципы и направления движения конфиденциальных традиционных и электронных документов в аппарате управления фирмы едины при использовании любой технологической системы обработки и хранения документов. Методы работы с документами меняются, но технологическая взаимосвязь документооборота с процессом управления сохраняется.

При движении конфиденциальных документов по инстанциям увеличивается число источников информации (сотрудников, баз данных, рабочих материалов и т. п.), обладающих ценными сведениями, и расширяются потенциальные возможности для утраты конфиденциальной информации, ее разглашения персоналом, утечки по техническим каналам, исчезновения носителя этой информации[24].

Каналы утраты конфиденциальной документированной информации имеются на всех стадиях и этапах движения документов, при выполнении любых процедур и операций; к ним относятся:

– кража (хищение) документа или отдельных его частей (листов, приложений, копий, схем, фотографий и др.), носителя чернового варианта документа или рабочих записей;

– несанкционированное копирование бумажных и электронных документов, баз данных, фото-, видео– и аудиодокументов, запоминание злоумышленником или его сообщником текста документа;

– тайное или разрешенное ознакомление сотрудника фирмы с документом и сообщение информации злоумышленнику лично или по линиям связи, прочтение текста документа по телефону или переговорному устройству, разглашение информации с помощью мимики, жестов, условных сигналов;

– подмена документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;

– дистанционный просмотр документов и изображений дисплея с помощью технических средств визуальной разведки;

– ошибочные (умышленные или случайные) действия персонала при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами, технологии их обработки и хранения);

– случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов;

– считывание данных в чужих массивах за счет использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах;

– утечка информации по техническим каналам при обсуждении и диктовке текста документа, работе с компьютером и другой офисной техникой;

– гибель документов в условиях экстремальных ситуаций[25].

Для электронных документов угроза утраты конфиденциальной информации особенно опасна, так как факт кражи информации практически трудно обнаружить. Утрата конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, по мнению ряда специалистов, может быть вызвана следующими факторами:

– непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, работников службы конфиденциальной документации, системных администраторов и других лиц, обслуживающих информационные системы (самая частая и большая опасность);

– кражи и подлоги информации;

– угрозы, исходящие от стихийных ситуаций внешней среды;

– угрозы заражения вирусами[26].

В соответствии с указанными угрозами формируются задачи защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота, то есть использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности, как носителя информации, так и самой информации[27].

Помимо общих для документооборота принципов защищенный документооборот основывается на ряде дополнительных принципов:

– ограничение доступа персонала к документам, делам и базам данных деловой, служебной или производственной необходимостью;

– персональная ответственность должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и документам;

– персональная ответственность каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;

– жесткая регламентация порядка работы с документами, делами и базами данных для всех категорий персонала, в том числе первых руководителей[28].

Несколько иное содержание приобретает в защищенном документообороте принцип избирательности в доставке и использовании конфиденциальной информации. Его основу составляет действующая в фирме разрешительная (разграничительная) система доступа персонала к конфиденциальной информации, документам и базам данных. Целью избирательности является не только оперативность доставки документированной информации потребителю, но и доставка ему только той информации, работа с которой ему разрешена в соответствии с его функциональными обязанностями. Избирательность распространяется не только на поступившие документы, но и на документы, которые составляются персоналом на рабочих местах или с которыми сотрудники только знакомятся[29].

Защищенность документопотоков достигается за счет:

– одновременного использования режимных (разрешительных, ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;

– нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной информации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;

– формирования самостоятельных, изолированных потоков конфиденциальных документов и (часто) дополнительного их разделения на подпотоки в соответствии с уровнем конфиденциальности перемещаемых документов;

– использования автономной технологической системы обработки и хранения конфиденциальных документов, не соприкасающейся с системой обработки открытых документов[30].

Под исполнением конфиденциального документа понимается процесс документирования управленческих решений и действий, результатов выполнения руководителями и сотрудниками фирмы поставленных задач и отдельных заданий, поручений, а также реализации функций, закрепленных за ними в должностных инструкциях. Факторами, инициирующими процесс исполнения, являются:

– получение руководителем, сотрудником (исполнителем) поступившего документа;

– письменное или устное указание вышестоящего руководителя;

– устный запрос на информацию или принятие решения от других фирм, учреждений и отдельных лиц;

– задания и поручения, включенные в рабочие планы, графики работы, должностные инструкции и другие организационные и плановые документы;

– полезная информация, полученная из реферативных и информационных сборников, рекламных изданий[31].

В отличие от исполнения процесс использования документа предполагает включение его в информационно-документационную систему, обеспечивающую исполнение других документов, выполнение управленческих действий и решений. Для использования в работе обычно поступают законодательные акты, организационно-правовые, нормативные, распорядительные, справочно-информационные документы, разнообразные рекламные издания и научно-техническая информация. Процесс ознакомления с конфиденциальным документом – это информирование сотрудника фирмы или иного заинтересованного лица, осуществляемое в соответствии с резолюцией полномочного руководителя на конфиденциальном документе, о принятом этим руководителем решении или решении другой организационной структуры[32].

В ходе исполнения конфиденциальных документов могут возникнуть следующие основные угрозы:

– утрата (разглашение, утечка) ценной информации за счет ее документирования на случайном носителе, не входящем в сферу контроля службы конфиденциальных документов;

– подготовка к изданию документа, не обоснованного деловой необходимостью или не разрешенного для издания, то есть документирования определенной информации;

– включение в документ избыточных конфиденциальных сведений, что равносильно разглашению тайны фирмы;

– случайное или умышленное занижение грифа конфиденциальности сведений, включенных в документ;

– изготовление документа в условиях, которые не гарантируют сохранности носителя, конфиденциальности информации;

– утеря оригинала, черновика, варианта или редакции документа, его части, приложения к документу, умолчание этого факта и попытка подмены утраченных материалов;

– сообщение содержания проекта конфиденциального или открытого документа постороннему лицу, несанкционированное копирование документа или его части (в том числе на неучтенной дискете);

– утечка информации по техническим каналам;

– ошибочные действия работника службы конфиденциального документа, особенно в части нарушения разрешительной системы доступа к документам[33].

Важно, что в отличие от исполнения открытых документов исполнение конфиденциальных документов представляет собой стадию, насыщенную различными технологическими этапами и процедурами, основными из которых являются:

– установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ;

– оформление и учет носителя для документирования выделенного комплекса конфиденциальной информации;

– составление и изготовление конфиденциального документа;

– издание конфиденциального документа[34].

Указанные этапы характеризуются не только регламентированной технологией, но и жесткими правилами работы исполнителей с конфиденциальной информацией.

Общеизвестно, что в наибольшей безопасности находится конфиденциальная информация, не зафиксированная на каком-либо носителе; ценная информация немедленно подвергается угрозе при возникновении необходимости ее документирования.

В связи с этим система защиты конфиденциальной информации должна начинать функционировать не после издания (подписания) конфиденциального документа, а заблаговременно, то есть до создания будущего документа. Прежде чем создать документ, следует установить, является ли данная информация конфиденциальной и какой уровень грифа конфиденциальности ей должен быть присвоен в случае положительного ответа[35].

Своевременное установление грифа конфиденциальности сведений, подлежащих включению в будущий документ, – первый и основной элемент защиты документированной информации, позволяющий обеспечить относительно надежную безопасность тайны фирмы.

Основу присвоения документу грифа конфиденциальности должны составлять: перечень конфиденциальных сведений фирмы, требования партнеров, а также перечень конфиденциальных документов фирмы. Система грифования документов не гарантирует сохранности информации, однако позволяет четко организовать работу с документами, в частности сформировать систему доступа к документам персонала[36].

Гриф конфиденциальности, или гриф ограничения доступа к традиционному, машиночитаемому или электронному документу, представляет собой реквизит (элемент, служебную отметку, помету) формуляра документа, свидетельствующий о конфиденциальности содержащихся в документе сведений и проставляемый на самом документе и (или) сопроводительном письме к нему.

Информация и документы, отнесенные к коммерческой (предпринимательской) тайне, имеют несколько уровней грифа ограничения доступа, соответствующих различным степеням конфиденциальности информации:

– первый, массовый уровень – грифы «Конфиденциально», «Конфиденциальная информация»;

– второй уровень (достаточно редкий) – грифы «Строго конфиденциально», «Строго конфиденциальная информация», «Особый контроль» – они присваиваются документу лично первым руководителем фирмы, им изменяются или отменяются. Использование и хранение этих документов также организуется первым руководителем с возможным привлечением руководителя службы КД;

– на документах, содержащих сведения, отнесенные к служебной тайне, ставится гриф «Для служебного пользования» («ДСП»)[37].

Гриф ограничения доступа на документе пишется полностью, то есть не сокращается. Под обозначением грифа указываются номер экземпляра документа, срок действия грифа и иные условия его снятия. Обычно гриф располагается на первом и титульном листах документа, а также на обложке дела (тома) в правом верхнем углу. На электронных документах и документах, записанных на любых машинных носителях, гриф обозначается на всех листах. Ниже грифа или ниже адресата могут обозначаться ограничительные пометы: «Лично», «Только в руки», «Только адресату», «Лично в руки» и др. При регистрации конфиденциального документа к его номеру добавляется сокращенное обозначение грифа конфиденциальности.

Документы и информация, конфиденциальные в целом, в своей массе (например, документация службы персонала, службы безопасности, документы, отнесенные к профессиональной тайне, и т. д.), как правило, не маркируются, потому что в полном объеме обладают строгим ограничением доступа к ним персонала.

На ценных, но не конфиденциальных документах может проставляться пометка (отметка, надпись, штамп), предполагающая особое внимание к сохранности таких документов: «Собственная информация фирмы», «Информация особого внимания», «Копии не снимать», «Хранить в сейфе» и др. Могут использоваться дополнительные цветовые идентификаторы ценных и конфиденциальных документов и дел для их быстрого визуального выделения и контроля использования в процессе работы персонала[38].

Информация – это один из ресурсов предприятия, без которого четкой и слаженной работы не получится. А конфиденциальная информация дает фирме возможность, изобретая что-то новое, достигать вершин, не покоренных никем в области деятельности этого предприятия благодаря защищенности информации. Исходя из важности этой информации появляется риск для фирмы создателя лишится столь ценного ресурса. Во избежание неприятностей, связанных с утратой или хищением информации в организациях, создаются службы КД[39].

Представители службы в организации следят за конфиденциальными документами и сведениями, за оборотом документов в организации, создают базы данных для компьютеров и картотеки для бумажных носителей, уничтожают пронумерованные черновики конфиденциального документа, хранят документы, имеющие ценность для фирмы, и уничтожают их в установленном порядке.

Защита документированной информации в документопотоках обеспечивается комплексом разнообразных мер режимного, технологического, аналитического и контрольного характера. Перемещение документа в процессе выполнения каждой стадии, процедуры обработки или исполнения обязательно сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя и конфиденциальность информации[40].

Технологический процесс учета конфиденциальных документов включает в себя ряд процедур, обязательных для любого вида учета и любого типа обработки и хранения этих документов. В процессе учета, распределения, рассмотрения, передачи поступивших документов исполнителям и возврата документов выполняется комплекс технологических и ограничительных операций, позволяющих обеспечить физическую сохранность документа и его частей, а также предотвратить разглашение и утечку информации, содержащейся в документе.

Следует обратить внимание и на такой значимый вопрос, как определение степени конфиденциальности сведений.

Ряд ученых-методистов предложили многоуровневую систему грифов:

– первый уровень массовый – «Конфиденциально» и «Конфиденциальная информация»;

– второй, как его определяет автор, «достаточно редкий» – «Строго конфиденциально», «Строго конфиденциальная информация», «Особый контроль»;

– для документов служебного характера ограниченного доступа – «Для служебного пользования». Под грифами он рекомендует проставлять пометки «Лично», «Только в руки» и т.п.[41]

Другие предлагают грифы «Конфиденциально», и «Собственная информация организации», «Строго конфиденциально». Подобных предложений достаточно много.

Для коммерческой организации вполне достаточно трех степеней: «Для служебного пользования», «Коммерческая тайна», «Коммерческая тайна ОВ» (особо выделенная). Представляется целесообразным сформулировать определение понятия «гриф ограничения доступа» к конфиденциальным документам как устанавливаемую законодательством, другими правовыми актами степень конфиденциальности сведений, определяющей тяжесть ущерба в случае их распространения, включающий в себя наименование степени конфиденциальности и номер экземпляра документа.

Итак, после разработки соответствующих перечней, можно приступить к составлению документов. Меры защиты конфиденциальной информации в процессе создания документа должны предусматривать, прежде всего, защиту носителя и содержащейся в нем информации, а при необходимости и средств документирования.

Лейтмотив публикаций – черновики и проекты конфиденциальных документов перед выдачей исполнителю должны учитываться в соответствующих формах учета, а после подписания (утверждения) документа, уничтожаться с отметкой в формах учета. Отметки об уничтожении надо проставлять и в форме учета, и на обороте копии документа, остающейся в деле, делать запись об их уничтожении. При этом одни такой порядок работы относят к документам, содержащим коммерческую тайну, другие к «конфиденциальным документам»[42].

Хотелось бы опять обратить внимание: не надо смешивать в один условный «конфиденциальный документ» документы с грифами «Для служебного пользования» и «Коммерческая тайна».

Согласно «Положению о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» черновики и варианты документов «Для служебного пользования» не учитываются, уничтожаются работником службы делопроизводства с отражением факта уничтожения в учетных формах. Такой же порядок работы с документами вполне применим и в коммерческих структурах. Безусловно, информация, связанная с созданием принципиально новых изделий, технологий и др. требует учета черновиков с максимальной степенью защиты, что должно быть отражено еще на стадии составления перечней[43].

Как справедливо отмечает Т.В. Кузнецова, «пока документ не зарегистрирован, не получил своего номера… он как бы ещё не существует»[44]. Конфиденциальная информация в черновике присутствует, как и в том, что только трудозатраты на документирование с учётом черновиков увеличиваются на 20-25%. Однако право выбора – учитывать или не учитывать черновики – за обладателем информации.

Вместе с тем давно известны организационные меры по защите информации при её документировании:

– организация внезапных проверок работы исполнителей с конфиденциальными документами;

– выделение специально оборудованных помещений;

– установка опечатываемых службой делопроизводства хранилищ для черновиков, испорченных проектов и их централизованное уничтожение и т.п.

Нельзя не обратить внимание на отдельные положения, связанные со способами документирования конфиденциальной информации. Так, А.Н. Белов и А.А. Белов рекомендуют не использовать при документировании диктофоны, магнитофоны, диктовать текст. На наш взгляд, главное не запретить, а объяснить, что они являются каналами возможной утечки информации и их надо соответствующим образом защищать. Они же и А.В. Пшенко предлагают при отправке документа почтой или по электронным каналам связи шифровать текст, каким образом – не поясняют. Существуют более простые и дешевые способы решения этой задачи, например, использование режима легендирования, который может закладываться уже на стадии документирования[45].

Другим реквизитом конфиденциального документа, помимо текста, является гриф ограничения доступа.

Итак, защитой документированной информацией от неправомерного доступа является система организационных, правовых и технических мер, направленных на сохранение режима ограниченного доступа к конфиденциальной информации. С целью защиты документированной информации она классифицируется по степени секретности и конфиденциальности и по каждой группе документации регламентируется порядок документооборота.

123