LINEBURG


<< Пред. стр.

страница 9
(всего 19)

ОГЛАВЛЕНИЕ

След. стр. >>

Целесообразно использовать единую последовательность распо­ложения заголовков дел в разных разделах номенклатуры одной ор­ганизации.
Третья графа номенклатуры заполняется в конце года. Каждое дело не должно, превышать 250 листов. Поэтому при большом объе­ме документов, относящемся к одному делу, допускается формиро­вание томов, частей.
В четвертой графе номенклатуры проставляются сроки хране­ния дел в соответствии с определенными перечнями.
Пятая графа номенклатуры дел «Примечание» заполняется в течение срока действия номенклатуры службой ДОУ. В ней простав­ляются отметки о заведении дел, о переходящих делах, о сотрудни­ках, ответственных за документацию и формирование дел в струк­турных подразделениях, о передаче дел в другую организацию, о местонахождении подлинника, о передаче дел в ведомственный ар­хив и т.п. Использование графы «Примечание» повышает качество и эффективность номенклатуры дел.
На основании номенклатуры дел структурных подразделений со­ставляется сводная номенклатура дел организации, при этом оформ­ляется титульный лист, если это министерство, ведомство, или ис­пользуется общий бланк организации.

10.3. Составление заголовков дел

Заголовок дела - важнейший элемент номенклатуры. Основные требования к его составлению - четко и в обобщенной форме отражать основное содержание и состав документов дела. Заголовок должен быть конкретным и исключать различные толкования. Необходимо избегать неконкретных формулировок - «разные документы», «общая перепис­ка» и т.д. Заголовок дела формулируется на основе элементов, распола­гаемых в следующей последовательности:
название документа (приказы, протоколы и т.д.), наименование рода заводимого дела (переписка, документы, дело);
автор документа (название организации, структурного подраз­деления);
корреспондент (название организации, которой адресуют и от которой получают документы);
вопрос или краткое содержание документов дела;
название местности (территории), с которой связано содержа­ние документов дела;
даты (период), к которым относятся документы дела;
указание на копийность дела.
Состав элементов заголовка определяется характером докумен­тов, помещенных в деле.
Название документа в заголовке дела указывается в единствен­ном или множественном числе (при группировке в деле документов одного названия), например:
«Журнал учета выдачи дипломов»
«Протоколы собраний акционеров предприятия»
«Сводки по контролю исполнения документов».
При наличии в деле документов нескольких названий они пере­числяются в заголовке, например:
«Отзывы и заключения на научные работы, присланные в ...»
«Протоколы и стенограммы заседаний Ученого совета...».
Если документы разных названий (более 2-3) относятся к одно­му вопросу и не связаны последовательностью делопроизводства, то при формулировании заголовка дела используется термин «докумен­ты». В этом случае в конце заголовка в скобках перечисляются на­звания документов, из которых будет формироваться дело, напри­мер:
«Документы, подготовленные по заданию органов государственно­го управления (справки, обзоры, аннотации, информация и др.)»
«Документы, представляемые в судебные органы и милицию по уго­ловным и гражданским делам (акты, докладные записки, справки, ха­рактеристики)».
Термин «документы» может использоваться также в заголовках дел, содержащих приложения к какому-либо документу.
Заголовки судебных, следственных, личных (персональных), арбитражных и других дел, связанных между собой последователь­ностью разрешения одного вопроса, формулируются с использова­нием термина «дело»:
«Личные дела учебно-вспомогательного и административно-управ­ленческого персонала».
Термин «переписка» используется в заголовках дел, формирую­щих корреспонденцию с одной или несколькими организациями:
«Переписка с заказчиками о сроках поставки продукции». Для документов, создаваемых в организации, автор документа - название организации (структурного подразделения) указывается кратко или приводится его общее видовое название:
«Протоколы заседания Совета директоров».
При указании в заголовке корреспондента используется конкрет­ное наименование организации или обобщенное видовое название без конкретного перечисления:
«Переписка с Росархивом о ...»
«Переписка с международными, организациями о научном сотруд­ничестве».
Если документы касаются переписки с разнородными корре­спондентами по одному вопросу, то корреспонденты не указыва­ются:
«Переписка по научно-организационным вопросам».
Если документы относятся к корреспонденции одной админис­тративно-территориальной единицы (населенного пункта), то в за­головке дела указывается ее (его) название:
«Переписка с производственным объединением «Алмаз» (г. Орел) о выполнении договора по поставкам продукции».
Если содержание дела касается нескольких однородных адми­нистративно-территориальных единиц, то их конкретные названия в заголовке дела не указываются, а дается общее название:
«Переписка с организациями Объединения архивов Москвы о прове­дении научно-практической конференции».
В заголовке дела может указываться временной период, к кото­рому относится содержание документа:
«Приказы по основной деятельности за 1997 г.»
В заголовке дел, содержащих плановую, отчетную документа­цию, указывается не только год, но и месяц, квартал:
«Бизнес-планы филиалов на 1998 г.»
«Сводный баланс доходов и расходов за 1996 г.».
Если в деле группируются статистические формы, заполняемые в организации, то в заголовке указывается ее номер (шифр):
«Отчеты предприятий по поставкам госзаказа (формы 1-ПС)».
В заголовках дела при необходимости дается указание на копий­ность документов:
«Приказы ректора по комплектованию и изменению личного соста­ва студентов. Копии».
Если дело состоит из нескольких частей или томов, то составля­ется общий заголовок дела и при необходимости в заголовки томов могут вноситься уточнения.

10.4. Установление сроков хранения дел

Значение документов, откладывающихся в организации-фондо-образователе, неодинаково. Одни необходимы только для оператив­ной работы в течение определенного времени и их долговременное хранение нецелесообразно и неэффективно из-за ограниченных пло­щадей ведомственных архивов организации. Другие документы име­ют большой период практического использования, обладают науч­ным, историческим значением и должны храниться постоянно в го­сударственных архивах. Проставление сроков хранения проводится на основе специальных перечней типовых и ведомственных доку­ментов. Установленные ими сроки хранения документов являются обязательными. Сроки хранения документов, установленные типо­выми перечнями, сокращать не разрешается. В случаях, вызванных спецификой деятельности отдельных организаций, типовые сроки могут быть увеличены. При установлении сроков типовым перечнем следует пользоваться лишь при отсутствии ведомственного перечня, так как в ведомственном перечне состав и содержание документов организации отражены с большой полнотой и конкретизацией. Сро­ки хранения документов, не предусмотренных типовым или ведом­ственным перечнями, устанавливаются ЭПК соответствующего ар­хивного учреждения после представления необходимых материалов ведомственным архивом и ЦЭК (ЭК) организации.
Установление сроков хранения документов на основании типо­вых или ведомственных перечней осуществляется поэтапно.
Сначала определяется категория данной организации. Напри­мер, в ведомственном перечне все организации отрасли разделены на четыре категории, в соответствии с которыми организации, вхо­дящие в 1-3-ю категории, сдают документы на постоянное хранение в государственные архивы; от организаций, входящих в 4-ю катего­рию, документы на постоянное хранение в государственные архивы не принимаются. Затем в зависимости от категории данной органи­зации устанавливаются по перечню и сроки хранения документов. Например, по указанному перечню организации 1-3-й категорий в своих номенклатурах для дела с заголовком «Поручения (задания) правительственных и вышестоящих органов и документы по вы­полнению поручений» укажут срок хранения «Постоянно», а ор­ганизации 4-й категории для аналогичного дела укажут срок хра­нения - 10 лет.
При установлении сроков хранения надо также учитывать, что некоторые статьи перечней могут быть разбиты на пункты, имею­щие разные сроки, например:
«Планы финансирования и кредитования»
а) годовые - постоянно;
б) квартальные - 3 года;
в) месячные - 1 год.
Поэтому в номенклатуру организации из статьи перечня пере­носится тот пункт и срок хранения, к которому относится конкрет­ная категория документов.
В номенклатуру дел организации должны переноситься из пе­речней и специальные отметки, относящиеся к срокам хранения документов. Отметка в перечне «5 л. ЭПК» означает, что по истече­нии указанного срока вопрос о дальнейшем хранении документов решается ЭК организации в ЭПК архивного органа. В зависимости от принятого решения срок хранения этих дел может оставаться вре­менным без отметки «ЭПК» или заменяться на постоянный, если ЭК и ЭПК придут к выводу, что документы имеют научное и исто­рическое значение.
О сроках хранения отдельных категорий документов делаются следующие отметки. К документам распорядительного, нормативно­го, методического характера в организации, не являющейся автором, в номенклатуре проставляются отметки «До замены новыми», «До минования надобности». Отметка «Хранить до передачи в государст­венный архив, не принятые уничтожаются по миновании надобнос­ти», означает, что вопрос об окончательном сроке хранения данной категории дел решается по усмотрению государственного архива.
Правильное определение сроков хранения недостаточно прово­дить лишь на основании заголовков дел и их соотнесения со стать­ями перечня. Необходимо проводить и анализ фактического содер­жания имеющихся в делах документов. Если в деле содержатся доку­менты по одному вопросу, но различной значимости, с разными сро­ками хранения (например, 3 года, 5 лет, 10 лет), то время хранения устанавливается по документам, имеющим более длительный срок хранения (в приведенном случае - 10 лет).
Исчисление сроков хранения документов, законченных делопро­изводством в текущем году, начинается с 1 января следующего года.

10.5. Хранение документов в оперативной
деятельности и формирование дел

Оперативное хранение документов проводится в службах ДОУ, других структурных подразделениях организаций до сдачи их в ве­домственный архив. Оперативное хранение подразделяется на хранение документов в процессе их исполнения и хранение исполнен­ных документов.
Документы во время их исполнения должны храниться у испол­нителя в специальных папках с надписями «Срочно», «На исполне­ние», «На заседание», «На подпись», «На отправку» и т.п. На папках указываются также фамилия, инициалы, телефон исполнителя. Пап­ки хранятся в течение дня на столе исполнителя, после окончания работы убираются в ящик стола или шкаф.
Папки с неисполненными документами хранятся таким обра­зом, чтобы в случае болезни или командировки исполнителя их мож­но было сразу же передать на исполнение другому сотруднику.
Хранение исполненных документов осуществляется в специаль­ных папках. Папки типа «скоросшиватель» используются для доку­ментов кратковременных сроков хранения, так как в скоросшивате­лях документы располагаются в обратной хронологической последо­вательности: документ с более поздней датой оказывается первым (сверху), а с более ранней - в конце (снизу).
Для документов длительных и постоянных сроков хранения целесообразно использовать папки с мягкой системой крепления (со шнурками). Документы пробиваются дыроколом, через проби­тые отверстия пропускаются шнурки, которые завязываются сни­зу подшитых документов. Это дает возможность группировать документы в дело в прямой хронологической последовательности. Документы, хранящиеся в подобных папках, сдаются в ведомст­венный архив в том виде, как они сформировались в делопроиз­водстве.
Дела, остающиеся в оперативной деятельности, удобно хранить в механических картотеках элеваторного типа. Запрещается хранить законченные дела в столах сотрудников. Организация хранения дел должна обеспечивать их сохранность и удобство использования.
Исполненные документы группируются в дела по специальным правилам. Эта группировка документов носит название «формиро­вание дел».

10.5.1. Общие требования к формированию дел

Работа по формированию дел состоит из следующих операций:
распределение исполненных документов по делам в соответст­вии с номенклатурой дел;
расположение документов внутри дела в определенной последо­вательности;
оформление обложки дела.
Эти операции выполняются в течение года, что ускоряет и об­легчает работу с документами в службах ДОУ и других структурных подразделениях организаций, также и при последующем их хране­нии в ведомственном архиве.
В организациях формирование дел осуществляется централизо­ванно или децентрализованно. В первом случае дела формируются только службой ДОУ, во втором случае - всеми структурными под­разделениями организации. Формирование дел в структурных под­разделениях осуществляется с помощью ответственных за докумен­тацию либо исполнителей, ведущих определенный круг вопросов в своем структурном подразделении. Методическое руководство за правильностью формирования дел обеспечивает служба ДОУ и ве­домственный архив. Правильность формирования дел достигается соблюдением ряда правил, положений.
В дела группируются документы одного календарного года, за исключением переходящих, судебных, личных дел, документов орга­нов представительной власти, других выборных органов, которые группируются за период их созыва; документов учебных заведений, формирующихся в дела за учебный год, и др. Формирование дел осу­ществляется с целью наиболее рациональной организации хранения документов, которая обеспечивает быстрый поиск необходимых до­кументов и информации.
Документы постоянного и временного сроков хранения группи­руются в дела отдельно. Например, следует хранить в делах отдельно оригиналы и копии документов, годовые и квартальные планы рабо­ты и так далее, поскольку эти документы имеют различные сроки хранения. В отдельных случаях допускается временная группировка в одном деле документов различных сроков хранения, если они от­носятся к одному вопросу. По окончании календарного года и реше­ния вопроса такие документы рекомендуется перегруппировать в самостоятельные дела.
В дело обычно включается только один экземпляр документа. Не включаются документы, подлежащие возврату, черновики, рабо­чие варианты (проекты) документов, размноженные копии. Исклю­чение составляют черновые и дублетные материалы особо ценных документов, копии, которые имеют резолюции, визы, пометки, яв­ляющиеся дополнением к основному документу.
Каждый документ, помещенный в дело, должен быть оформлен в соответствии с требованиями государственных, отраслевых стан­дартов ГСДОУ и других нормативных документов. Группировка до­кументов в дела проводится согласно отметкам исполнителей на документах «в дело №..., дата и подпись исполнителя» в соответствии с номенклатурой дел. Недооформленные или неправильно оформленные документы возвращают исполнителям на доработку.
Не допускается разобщение в делах запросов и ответов, подшив­ка сопроводительных писем без приложений или без отметок об их местонахождении, подшивка в дела документов, подлежащих воз­врату корреспондентам.
Сформированное дело должно содержать не более 250 листов, что составляет 4 см в толщину. Ограничений по минимальному объ­ему дел не существует. При большом объеме документов, относя­щихся к одному делу, проводят деление комплекса на самостоятель­ные тома, части. Или создают новые дела, систематизируя докумен­ты по хронологии, вопросному принципу.
Внутри дела документы располагаются в определенной последова­тельности. От выбранной последовательности расположения докумен­тов в деле зависит оперативность поиска необходимых документов, а также раскрытия хода и полноты решения вопросов. Обычно докумен­ты внутри дела располагаются в хронологической последовательности, начиная от более ранних по датам документов и кончая более поздни­ми датами. Документы могут быть расположены по порядковым номе­рам (приказы, распоряжения, протоколы, решения и др.), но и в этом случае сохраняется хронологическая последовательность решения во­просов. Это относится, например, к переписке, когда документ-ответ подшивается в дело не по дате регистрации, а вслед за инициативным документом, или к приложениям, которые, независимо от даты их ут­верждения или составления, присоединяются к соответствующим до­кументам. Если приложение составляет 25 листов и более, то из него, как правило, формируется отдельный том, а в документе делается об этом соответствующая отметка.
Документы могут размещаться и в алфавитной последователь­ности. В таком порядке, например, располагаются предложения, за­явления и жалобы граждан. В алфавитном порядке целесообразно группировать различные опросные анкеты, сводки, отчеты, поступа­ющие от подведомственных предприятий (в алфавитном порядке на­званий предприятий) и другие документы.

10.5.2. Группировка в дела отдельных категорий
документов

Распорядительные документы формируются в отдельные дела по названиям, (приказы, распоряжения, указания, решения), которые уточняют авторской принадлежностью (приказы министерства, прика­зы организации и т.д.). Приказы организации группируются в отдель­ные дела исходя из вопросной направленности, т.е. отдельно группируются приказы по основной деятельности, приказа по административ­но-хозяйственным вопросам, приказы по личному составу.
Уставы, положения, инструкции, утвержденные распорядитель­ными документами как приложения к ним, группируются вместе с распорядительными документами. Если же при их утверждении рас­порядительные документы не издавались, то эти документы форми­руются в самостоятельные дела.
Поручения вышестоящих организаций и документы по их ис­полнению группируются в дела по направлениям деятельности орга­низации.
Протоколы формируются в дела с учетом авторского признака (протоколы коллегии, протоколы совещания у директора, протоко­лы профсоюзного собрания и т.д.). Протоколы группируются, как правило, вместе с документами, на основании которых они готови­лись (повестка дня, доклады, проекты решений и др.). Эти докумен­ты помещаются после протоколов в последовательности рассмотре­ния вопросов. При значительном объеме таких документов их фор­мируют в отдельное дело по номерам протоколов и в последователь­ности решения вопросов.
Стенограммы заседаний, как правило, формируются в отдель­ные дела. .
Утвержденные планы, отчеты, лимиты, титульные списки груп­пируются в дела отдельно от проектов этих документов и расчетов по ним. Плановые, отчетные документы хранятся в делах того года, к которому относятся по содержанию, независимо от времени состав­ления, например: отчет за 1996 г., составленный в 1997 г., должен быть подшит вдело 1996 года, а не 1997 года; план на 1998 г., состав­ленный в 1997 г., - вдела 1998 года. Перспективные планы относят­ся к начальному году их действия, отчеты о выполнении перспектив­ного плана - к последнему году действия плана. Коррективы к пер­спективному плану развития относятся к тому году, на который они составлены. Документы в отчетах необходимо располагать в систе­матическом порядке. Так, документы отчета о финансовой деятель­ности предприятия, состоящего из баланса, объяснительной запис­ки и приложений к нему, располагаются в следующем порядке: вна­чале объяснительная записка к отчету, затем баланс и в конце — приложения. Последовательность приложений определяется после­довательностью статей баланса или соответствующими ссылками в объяснительной записке.
Лицевые счета рабочих и служащих по заработной плате группи­руются в самостоятельные дела и располагаются в алфавитном по­рядке по фамилиям.
Статистическая документация, образующаяся в управленческой деятельности, группируется самостоятельно или в одном деле с дру­гими документами по данному вопросу. Например, к отчету пред­приятия по основной деятельности за 1996 г. прилагаются формы статистической отчетности, характеризующие деятельность данного предприятия по основной деятельности.
Переписку рекомендуется группировать в дела в хронологичес­кой последовательности разрешения вопросов, начиная с более ран­них документов и кончая более поздними в пределах данного вопро­са. При возобновлении переписки по определенному вопросу, на­чавшейся в предыдущем году, документы группируются в дела теку­щего года с указанием индекса дела предыдущего года. В зависимо­сти от специфики организации переписка группируется в дела в те­чение календарного года, срока созыва и т.д.
Личные дела занимают значительное место среди документа­ции организации. В них группируются документы, относящиеся к кадровым вопросам всех работающих в организации. Исключение составляют копии приказов о поощрениях и взысканиях, справки с места жительства, о состоянии здоровья, о перемене фамилии и т.д., которые в личные дела не группируются, так как сведения из них переносятся в дополнение к анкете (личному листку по учету кадров) и другие кадровые документы. При необходимости указанные документы могут формироваться в дела временного хра­нения.
В личных делах документы группируются в следующей последо­вательности: внутренняя опись документов, имеющихся в личном деле; заявление о приеме на работу, направление или представление; анкета (личный листок по учету кадров); автобиография; документы об образовании; выписки из приказов о назначении, перемещении, увольнении; дополнении к анкете (личному листку по учету кадров), справки и другие документы, относящиеся к данному лицу. Внутри перечисленных групп документы располагаются в хронологическом порядке.
При формировании дел по предложениям, заявлениям и жало­бам граждан следует иметь в виду, что раздельно группируются в самостоятельные дела предложения, заявления граждан по вопросам совершенствования и изменения работы организаций и их заявле­ния и жалобы поличным вопросам. Документы в деле группируются по алфавиту. Все документы, относящиеся к одному заявителю, со­ставляют самостоятельную группу. Повторные предложения, заявле­ния, жалобы граждан подшивают к данной группе документов. Вну­три документы располагаются по хронологии.
Документы подведомственных организаций (планы, отчеты, сводки, обзоры, справки, докладные записи и т.д.), поступающие в вышестоящие организации, группируются, как правило, в самосто­ятельные дела по каждой организации. Кроме того, может быть ис­пользована группировка в дела документов одного названия по всем подведомственным организациям. Например:
«Готовые отчеты филиалов о выполнении плана по реализации товаров».
Рационализаторские предложения, авторские свидетельства, патенты на изобретение, заявки о выдаче диплома на открытие, стан­дарты, нормативы в организациях, которые их разработали или ут­верждают, группируются в самостоятельные дела по каждому отдель­ному конкретному вопросу. Причем комплекс документов, группи­руемых в деле, и порядок их расположения определяется специаль­ными правилами. В организациях, пользующихся этими документа­ми, перечисленные документы могут группироваться в одном деле или по отдельным вопросам.
Документная информация на машинных носителях данных, имеющая долгосрочное значение, определяемое по соответствующим статьям Перечней на общих основаниях, также включается в номен­клатуру дел.
Основной единицей организации учета и хранения документной информации на машинных носителях данных является файл дан­ных.
В номенклатуре дел систематизация файлов должна соответст­вовать внутренней структуре базы данных.
При внесении изменений в структуру базы данных, количество и содержание файлов соответствующие изменения должны найти отражение и в номенклатуре дел.

10.5.3. Оформление обложки дела

Дело считается заведенным после включения в папку для хране­ния первого исполненного документа. Одновременно оформляется обложка заведенного дела.
На обложку каждого заведенного дела выносятся следующие сведения: название организации; название структурного подразделе­ния организации, где оформилось дело; количество листов в деле; срок хранения дела. Большинство элементов описания дела обозна­чается на обложке в начале заведения дела, за исключением обозна­чения количества листов, которое проставляется на обложке после завершения дела.
При обозначении названия организации может указываться ее ведомственная принадлежность. Название организации приводится полностью в именительном падеже, в скобках дается ее сокращен­ное название.
Название структурной части указывается по тем же правилам.
Индекс дела проставляется в соответствии с номенклатурой дел. Индекс является адресом хранения дела, который является и поис­ковым признаком.
Написание заголовков на обложках дел облегчается при нали­чии правильно составленных номенклатур дел. В этих случаях доста­точно, перенести заголовок из номенклатуры дел на обложку. При отсутствии номенклатуры дел заголовок составляется по общим пра­вилам для каждого дела.
Дата дела показывает, за какой период времени в деле сгруппи­рованы документы. При заведении дела на обложке указывается год его заведения. Если дело делится на тома, части, на их обложках указывается число, месяц, год заведения. Дата окончания тома, ча­сти проставляется после окончания группировки в них документов. Сроки хранения дел переносятся на обложку из номенклатуры дел.

Литература к главе 10
1. Положение об Архивном фонде Российской Федерации //Указ Президента РФ от 17.03.94 № 552 - М. - 10 с.
2. Положение о Государственной архивной службе России (там же) - 7 с.
3. Закон РСФСР «Об охране и использовании памятников истории и культуры//Постановление ВС РСФСР от 15.12.78. - М. - 14с.
4. ГОСТ 16487 - 83. Делопроизводство и архивное дело. Терми­ны и определения. - М.,1983. - 15 с.
5. Государственная система документационного обеспечения управления. Основные положения. Общие требования к документам и службам документационного обеспечения. - М., Главархив СССР, ВНИИДАД, 1991. - 76 с.
6. Основные правила работы ведомственных архивов. - М., Глав­архив СССР, 1988. - 173 с.
7. Отбор на государственное хранение, фондирование, описа­ние, учет документов источников комплектования выборочного при­ема. - М., Главархив СССР, ВНИИДАД,1990. - 29 с.
8. Отбор на государственное хранение документов на машинных носителях автоматизированных систем научно-технического и производственного назначения. Рекомендации. - М., Главархив СССР, 1991.-32 с.
9. Перечень научно-технической документации, подлежащей приему в государственные архивы СССР, и методические рекомен­дации по экспертизе ценности научно-технической документации. -М., Главархив СССР, 1987.- 97 с.
10. Перечень типовых документов, образующихся в деятельнос­ти госкомитетов, министерств, ведомств и других учреждений, орга­низаций, предприятий с указанием сроков хранения. - М., Главар­хив СССР, 1989. - 146 с.















Глава 11 ЗАЩИТА КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

11.1. Состав и направления защиты
документной информации

В современной российской рыночной экономике обязатель­ным условием успеха предпринимателя в бизнесе, получения при­были и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности информационная безопасность, достигаемая за счет использования комплекса систем, методов и средств защиты информации предпринимателя от возможных злоумышленных дей­ствий конкурентов и с целью сохранения ее целостности и кон­фиденциальности.
Информация, используемая предпринимателем в бизнесе и уп­равлении предприятием, банком, компанией или другой структурой (далее по тексту фирмой), является его собственной или частной информацией, представляющей значительную ценность для пред­принимателя. Эта информация составляет его интеллектуальную собственность.
Обычно выделяется два вида собственной информации:
техническая, технологическая: методы изготовления продукции, программное обеспечение, основные производственные показатели, химические формулы, рецепты, результаты испытаний опытных об­разцов, данные контроля качества и т.п.;
деловая: стоимостные показатели, результаты исследования рын­ка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.
Собственная информация предпринимателя в целях ее защиты может быть отнесена к коммерческой тайне и является конфиденци­альной при соблюдении следующих условий:
информация не должна отражать негативные стороны деятельнос­ти фирмы, нарушения законодательства и другие подобные факты;
информация не должна быть общедоступной или общеизвест­ной;
возникновение или получение информации должно быть закон­ным и связано с расходованием материального, финансового или интеллектуального потенциала фирмы;
персонал фирмы должен знать о ценности такой информации и обучен правилам работы с ней;
предпринимателем должны быть выполнены действия по защи­те этой информации.
Для документирования информации предпринимателя, являю­щейся результатом творческого интеллектуального труда в науке и производстве, наиболее характерны не текстовые, а изобразитель­ные способы. Достаточно часто конфиденциальная информация до­кументируется фотографическими, видеографическими и иными способами.
Ценность информации может быть стоимостной категорией и от­ражать конкретный размер прибыли при ее использовании или размер убытков при ее утере. Информация становится часто ценной ввиду ее правового значения для организации или развития бизнеса, например учредительные документы, программы и планы, договоры с партнера­ми и посредниками и т.д. Ценность может отражать ее перспективное научное, техническое или технологическое значение.
Следовательно, собственная ценная информация предпринима­теля не обязательно является конфиденциальной. Часто обычный правовой документ важно сохранить в целостности и безопасности от похитителя или стихийного бедствия.
Ценную конфиденциальную деловую информацию, как прави­ло, содержат:
планы развития производства;
деловые планы;
планы маркетинга, бизнес-планы;
списки держателей акций и другие документы.
Наиболее ценны сведения о производстве и продукции, рынке, научных разработках, материально-техническом обеспечении, усло­виях контрактных переговоров, сведения о персонале, принципах уп­равления фирмой, системе безопасности фирмы и др.
Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода в число общеизвестных. Степень ценности информации и необходи­мая надежность ее защиты находятся в прямой зависимости.
Зарубежные фирмы в целях повышения своего престижа и кон­курентоспособности товаров часто используют различные реклам­ные приемы и, 'в частности, создают несуществующие секреты. Подобный «секрет» умело разглашается с учетом общеизвестной исти­ны - подслушанному верят больше, чем услышанному.
Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и подлежащей за­щите, является основополагающей частью системы защиты. Состав ценной информации определяется ее собственником или владель­цем и фиксируется в специальном перечне.
Перечень ценных сведений, составляющих тайну фирмы, явля­ется постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он регулярно обновляется, корректируется и представляет собой инвентарный список сведений о конкретных работах, конкретной продукции, кон­кретных исследованиях, конкретных контрактах и т.п. В перечень включаются действительно ценные сведения («изюминки») о каж­дой работе фирмы, хотя определенная номенклатура типовых сведе­ний в перечне может содержаться.
В каждой позиции перечня рекомендуется указывать гриф кон­фиденциальности .сведений, фамилии сотрудников, имеющих право доступа к ним и несущих ответственность за их сохранность, срок действия грифа или наименование события, снимающего это огра­ничение, виды документов и баз данных, в которых эти сведения фиксируются и хранятся.
Важной задачей перечня является дробление коммерческой тай­ны на отдельные информационные элементы, известные разным лицам. В свою очередь, закрепление конфиденциальных сведений за конкретными документами позволяет исключить возможность нео­боснованного издания документов или включения в них избыточ­ных данных.
Аналогичные перечни в качестве разделов, входящих в общий перечень сведений, составляющих тайну фирмы, могут иметь ее крупные структурные подразделения.
На основе перечня сведений составляется и ведется перечень (список) документов фирмы, подлежащих защите и имеющих соот­ветствующий гриф ограничения доступа.
Под конфиденциальным (защищаемым, закрытым) документом, т. е. документом, к которому ограничен доступ персонала, понимает­ся необходимым образом оформленный носитель ценной докумен­тированной информации, составляющей интеллектуальную собст­венность предпринимателя.
Особенность конфиденциального документа в том, что он пред­ставляет собой одновременно: массовый носитель ценной, защища­емой информации, основной источник накопления и распространения этой информации, в том числе ее разглашения (утечки), и обя­зательный объект защиты.
Конфиденциальный характер включенной в документ информа­ции обозначается грифом ограничения доступа к документу, кото­рый инициирует выделение его из общего потока и обработку в спе­циальном автономном режиме, а также распространяет на документ защитные и иные меры повышенного внимания и контроля.
Гриф ограничения доступа к документу или гриф конфиденци­альности представляет собой служебную отметку (реквизит), кото­рая проставляется на носителе информации или сопроводительном документе.
Информация и документы, отнесенные к предпринимательской тайне, имеют несколько уровней грифов ограничения доступа, соот­ветствующих различным степеням конфиденциальности информа­ции:
первый, низший и массовый уровень - грифы «Коммерческая тайна», «Конфиденциально», «Конфиденциальная информация»;
второй уровень - «Коммерческая тайна. Строго конфиденци­ально», «Строго конфиденциально», «Строго конфиденциальная информация», «Конфиденциально - Особый контроль».
В практической деятельности может использоваться также од­ноуровневая система грифования (грифов только первого уровня) или иногда - трехуровневая, при которой вводится высший по зна­чимости гриф - «Коммерческая тайна особой важности».
Под обозначением грифа всегда указывается номер экземпля­ра документа, срок действия грифа или иные условия его снятия, а также уточняющие отметки типа - «Лично», «Только адресату» и др.
Документы и информация, отнесенные к профессиональной тайне (например, врачебной тайне, тайне страхования), как прави­ло, грифа ограничения доступа не имеют, потому что в полном объ­еме являются конфиденциальными. В данном случае конфиденци­альны массивы документов в целом, например истории болезни, массивы учетных персональных данных и др.
На ценных, но не конфиденциальных документах может про­ставляться гриф (надпись, штамп), предполагающий особое внима­ние к сохранности такого документа. Например: «Собственная ин­формация фирмы», «Информация особого внимания», «Копии не снимать», «Хранить в сейфе» и т.д. Могут использоваться дополни­тельные цветовые идентификаторы ценных и конфиденциальных документов и дел для их быстрого визуального выделения и контро­ля использования в процессе работы.
Гриф конфиденциальности присваивается документу:
исполнителем на стадии подготовки проекта документа;
руководителем структурного подразделения или руководителем фирмы на стадии согласования или подписания документа;
адресатом (получателем) документа на стадии его первичной обработки в службе конфиденциальной документации.
Изменение грифа конфиденциальности документа производит­ся при изменении степени конфиденциальности содержащихся в нем сведений. Основанием для изменения или снятия грифа конфиден­циальности являются:
соответствующая корректировка перечней конфиденциальных сведений или конфиденциальных документов фирмы;
истечение установленного срока действия грифа;
наличие события, при котором гриф должен быть изменен или снят (например, окончание действия контракта, требование заказ­чика продукции, опубликование описания изделия в печати, патен­тование изобретения и т.п.).
После снятия грифа документ передается в службу открытой документации фирмы. Об изменении или снятии грифа делается отметка на самом документе, удостоверяемая росписью руководите­ля, подписавшего или утвердившего этот документ. О внесении в документ такой отметки сообщается заинтересованным лицам и предприятиям.
В целях своевременного изменения или снятия грифа конфиден­циальности с документов рекомендуется регулярно просматривать учетные (инвентарные) картотеки (журналы, списки) конфиденциаль­ных документов и выявлять те документы, которые могут быть удалены из банка контролируемых и защищаемых документов.
Следовательно, любая предпринимательская деятельность все­гда связана с созданием, использованием и хранением значительных объемов информации и документов, представляющих определенную ценность для фирмы и подлежащих обязательной защите от различ­ных видов угроз. С этой целью на носителе информации обознача­ется гриф ограничения доступа, который относит этот носитель к категории защищаемых конфиденциальных документов и иниции­рует включение по отношению к нему системы защитных мер.

11.2. Источники конфиденциальной информации
и каналы ее разглашения

Источники (обладатели) ценной, конфиденциальной докумен­тированной информации представляют собой накопители (концентраторы, излучатели) этой информации. К числу основных видов источников конфиденциальной информации относятся: персонал фирмы и окружающие фирму, люди; документы; публикации о фир­ме и ее разработках, рекламные издания, выставочные материалы; физические поля, волны, излучения, сопровождающие работу вы­числительной и другой офисной техники, различных приборов и обо­рудования.
Документация как источник ценной предпринимательской ин­формации включает:
конфиденциальную документацию, содержащую предпринима­тельскую тайну (ноу-хау);
ценную правовую, учредительную, организационную и распоря­дительную документацию;
служебную, обычную деловую и научно-техническую докумен­тацию, содержащую общеизвестные сведения;
рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по коммерческим и научным вопросам;
личные архивы сотрудников фирмы.
В каждой из указанных групп могут быть:
документы на традиционных бумажных носителях (листах бума­ги, ватмане, фотобумаге и т.п.);
документы на технических носителях (магнитных, фотопленоч­ных и т.п.);
электронные документы, банк электронных документов, изоб­ражения документов на экране дисплея (видеограммы).
Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:
деловые, управленческие, торговые, научные и другие коммуни­кативные регламентированные связи;
информационные сети;
естественные технические каналы.
Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санк­ционированном (разрешенном, законном) режиме или в силу1 объек­тивных закономерностей. Например, обсуждение конфиденциально­го вопроса на закрытом совещании, запись на бумаге содержания изобретения, работа ПЭВМ и т.п. Увеличение числа каналов распро­странения информации порождает расширение состава источников ценной информации.
Источники и каналы распространения информации при опреде­ленных условиях могут стать объектом внимания конкурента, что создает потенциальную угрозу сохранности и целостности информа­ции. Угроза безопасности информации предполагает несан1щиони-рованный (незаконный) доступ конкурента или нанятого им злоумы­шленника к конфиденциальной информации и как результат этого — кражу, уничтожение, фальсификацию, модификацию, подмену до­кументов. При отсутствии интереса конкурента угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней посторонних лиц. Ценная информация, к кото­рой не проявляется интерес конкурента, может не включаться в со­став защищаемой, а содержащие ее документы контролируются толь­ко с целью обеспечения сохранности носителя.
Конкурент или другое заинтересованное лицо (далее по тексту злоумышленник) создает угрозу информации путем установления контакта с источником информации или преобразования канала распространения информации в канал ее утечки. Если нет угрозы, то соответственно отсутствует факт утечки информации к злоумышлен­нику.
Угроза предполагает намерение злоумышленника совершить противоправные действия по отношению к информации для дости­жения желаемой цели. Угроза может быть потенциальной и реаль­ной. Реальные угрозы, в свою очередь, делятся на пассивные и ак­тивные.
По месту возникновения и отношению к фирме угрозы подраз­деляются на внутренние и внешние, по времени - постоянные и периодические (эпизодические). Злоумышленник может создать мнимую угрозу, на противодействие которой будут затрачены реаль­ные силы и средства. Угрозы информации реализуются злоумыш­ленником с помощью приемов и методов промышленного или эко­номического шпионажа.
Угроза сохранности информации и документов особенно велика при их выходе за пределы службы конфиденциальной документа­ции, например при передаче документов персоналу на рассмотрение и исполнение, при пересылке или передаче документов адресатам и т.п. Однако следует учитывать, что потеря ценной информации про­исходит, как правило, не в результате преднамеренных действий конкурента или злоумышленника, а из-за невнимательности, непро­фессионализма и безответственности персонала.
Утрата (утечка, утеря) информации предполагает несанкциони­рованный переход ценных, конфиденциальных сведений к лицу, не имеющему права владения ими и использования их в своих целях для получения прибыли. В том случае, когда речь идет об утрате информации по вине персонала, обычно используется термин «разглашение (огласка) информации». Разглашает информацию всегда человек - устно, письменно, с помощью жестов, мимики, условных сигналов, лично или через посредников. Термин «утечка информа­ции» используется наиболее широко, хотя, на наш взгляд, в большей степени относится к утрате информации за счет ее перехвата с помо­щью технических средств разведки.
При разглашении, утечке информация может переходить или к злоумышленнику и затем, возможно, к конкуренту, или к третьему л.ицу. Под третьим лицом в данном случае понимаются любые лица, получившие информацию во владение в силу обстоятельств (т.е. став­шие ее источником), но не обладающие правом владения ею и, что очень важно, не заинтересованные в этой информации. Однако сле­дует учитывать, что от третьих лиц информация может перейти к заинтересованному в ней лицу - конкуренту фирмы.
Переход информации к третьему лицу можно назвать непредна­меренным, стихийным. Он возникает в результате:
утери или случайного уничтожения документа, пакета (конвер­та);
невыполнения, незнания или игнорирования сотрудником тре­бований по защите информации;
излишней разговорчивости сотрудников при отсутствии злоумы­шленника;
работы с конфиденциальными документами при посторонних лицах, несанкционированной передаче конфиденциального доку­мента другому сотруднику;
использования конфиденциальных сведений в открытой печати, личных записях, неслужебных письмах;
наличия в документах излишней конфиденциальной информа­ции;
самовольного копирования сотрудником документов в служеб­ных целях.
В отличие от третьего лица злоумышленник преднамеренно и тайно организует, создает канал утечки информации и эксплуатирует его по возможности более или менее длительное время. Знать воз­можный канал утечки информации означает:
для злоумышленника - иметь стабильную возможность полу­чать ценную информацию;
для владельца информации - противодействовать злоумышлен­нику и сохранить тайну, а иногда и дезинформировать конкурента.
Информация должна поступать к конкуренту только по контро­лируемому каналу, в котором отсутствуют конфиденциальные сведе­ния, а циркулирующая информация ранжирована по составу, пользователем и характеризуется общей известностью и доступностью. Примером такого канала является издание и распространение рекламно-информационных материалов.
Каналы утечки, которыми пользуются злоумышленники, отли­чаются большим разнообразием. Основными видами этих каналов могут быть следующие:
установление злоумышленником взаимоотношений с сотрудни­ками фирмы или посетителями, сотрудниками фирм-партнеров, слу­жащими государственных или муниципальных органов управления и другими лицами;
анализ опубликованных материалов о фирме, рекламных изда­ний, выставочных проспектов и другой общедоступной информации;
поступление злоумышленника на работу в фирму;.
работа в информационных сетях;
криминальный, силовой доступ к информации, т.е. кража доку­ментов, шантаж персонала и другие способы;
работа злоумышленника в технических каналах распростране­ния информации.
В результате своей деятельности по организации разглашения или утечки ценной, конфиденциальной информации злоумышлен­ник получает:
подлинник или официальную копию конфиденциального доку­мента (бумажного или машиночитаемого);
несанкционированно сделанную копию этого документа (руко­писную или изготовленную с помощью технических средств - копи­ровального аппарата, фототехники, компьютера и т.п.);
диктофонную, магнитофонную кассету со звукозаписью текста документа;
письменное или устное изложение за пределами фирмы содер­жания документа, ознакомление с которым осуществлялось санкци­онирование или тайно;
устное изложение текста документа по телефону, переговорному устройству, специальной радиосвязи и т.п.;
аналог документа, переданного по факсимильной связи или эле­ктронной почте;
речевую или визуальную запись текста документа, выполненную с помощью технических средств разведки (радиозакладок, встроен­ных микрофонов и видеокамер, микрофотоаппаратов, фотографиро­вания с большого расстояния).
Обнаружение канала разглашения (утечки) информации - слож­ная, длительная и трудоемкая задача. В основе ее решения лежит классификация и постоянное изучение источников и каналов распространения информации, выявление угроз информации и возмож­ных каналов ее утечки, поиск и обнаружение реальных каналов утеч­ки, оценка степени опасности каждого реального канала, подавле­ние опасных каналов и анализ эффективности защитных мер, пред­принятых для безопасности информации. Каналы разглашения (утеч­ки) информации всегда индивидуальны и зависят от конкретных задач, поставленных перед злоумышленником.
Следовательно, контроль источников и каналов распростране­ния конфиденциальной информации позволяет определить наличие и характеристику угроз информации, выработать структуру системы защиты информации, надежно перекрывающую доступ злоумышлен­нику к ценной информации фирмы.

11.3. Система защиты ценной информации
и конфиденциальных документов

Система защиты информации (СЗИ) представляет собой ком­плекс организационных, технических и технологических средств, методов и мер, препятствующих несанкционированному (незакон­ному) доступу к информации.
Собственник или владелец информации лично определяет не толь­ко состав ценной информации, подлежащей защите, но и соответству­ющие способы и средства защиты. Одновременно им разрабатываются меры материального и морального стимулирования сотрудников, со­блюдающих порядок защиты ценной информации, и меры ответствен­ности персонала за разглашение тайны фирмы. Система защиты ин­формации должна быть многоуровневой с иерархическим доступом к информации, предельно конкретизированной и привязанной к специ­фике фирмы по структуре используемых методов и средств защиты, открытой для регулярного обновления, надежной как в обычных, так и в экстремальных ситуациях. Она не должна создавать сотрудникам фир­мы серьезные неудобства в работе.
Комплексность системы защиты достигается ее формированием из различных элементов - правовых, организационных, техничес­ких и программно-математических. Соотношение элементов и их со­держание обеспечивают индивидуальность системы защиты инфор­мации фирмы и гарантируют ее неповторимость и трудность преодо­ления. Конкретную систему защиты можно представить в виде кир­пичной стены, состоящей из множества разнообразных элементов (кирпичиков). Соотношение элементов системы, их состав и взаи­мосвязь отражают, определяют не только ее индивидуальность, но и конкретный заданный уровень защиты с учетом ценности информа­ции и стоимости подобной системы.
Элемент правовой защиты информации предполагает:
наличие в учредительных и организационных документах фир­мы, контрактах, заключаемых с сотрудниками, и в должностных инструкциях положений и обязательств по защите сведений, состав­ляющих тайну фирмы и ее партнеров;
формулирование и доведение до сведения всех сотрудников фирмы механизма правовой ответственности за разглашение конфи­денциальных сведений.
В правовой элемент системы защиты может также включаться страхование ценной информации от различных рисков.
Элемент организационной защиты информации содержит меры управленческого и ограничительного характера, побуждающие пер­сонал соблюдать правила защиты конфиденциальной информации, и включает в себя:
формирование и регламентацию деятельности службы безопас­ности фирмы, обеспечение этой службы нормативно-методически­ми документами по организации и технологии защиты информации;
регламентацию и регулярное обновление перечня (списка) цен­ной, конфиденциальной информации, подлежащей защите, состав­ление и ведение перечня конфиденциальных документов фирмы;
регламентацию системы (иерархической схемы) разграничения доступа персонала к конфиденциальной информации;
регламентацию технологии защиты и обработки конфиденциаль­ных документов фирмы;
построение защищенного традиционного или безбумажного документооборота;
построение технологии документирования ценной информации, составления, оформления, изготовления и издания конфиденциаль­ных документов;
построение технологической системы обработки и хранения конфиденциальных документов;
организацию архивного хранения конфиденциальных докумен­тов;
регламентацию защиты ценной информации фирмы от несанк­ционированных действий персонала;
порядок и правила работы персонала с конфиденциальными до­кументами и информацией, контроль за исполнением всеми сотруд­никами этого порядка и правил;
отбор персонала для работы с конфиденциальной информаци­ей, обучения и инструктирования сотрудников;
порядок защиты информации при ведении переговоров, прове­дении совещаний по конфиденциальным вопросам, приеме посети­телей, осуществлении рекламной, выставочной и другой деятельно­сти;
регламентацию аналитической работы по выявлению угроз цен­ной информации фирмы и каналов утечки информации;
оборудование и аттестацию помещений и рабочих зон, выде­ленных для осуществления конфиденциальной деятельности, ли­цензирование технических систем и средств защиты информации и охраны;
регламентацию пропускного режима на территории, в зданиях и помещениях фирмы, идентификацию персонала и грузов;
регламентацию системы охраны территории, здания, помеще­ний, оборудования, денежных средств, транспорта и персонала фирмы;
регламентацию организационных вопросов эксплуатации техни­ческих средств защиты информации и охраны;
регламентацию действий службы безопасности и персонала в экстремальных ситуациях;
регламентацию работы по управлению системой защиты инфор­мации фирмы.
Элемент организационной защиты является стержнем, который связывает в единую систему все другие элементы.
Центральной проблемой при разработке методов организацион­ной защиты информации является формирование разрешительной (разграничительной) системы доступа персонала к конфиденциаль­ным сведениям, документам и базам данных. Важно четко и одно­значно установить: кто, кого, к каким сведениям, когда, на какой период и как допускает.
Разрешительная система доступа решает следующие задачи:
обеспечение сотрудников всеми необходимыми для работы до­кументами и информацией;
ограничение круга лиц, допускаемых к конфиденциальным до­кументам;
исключение несанкционированного ознакомления с документами.
Иерархическая последовательность доступа реализуется по прин­ципу «чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников могут их знать». В соответствии с этой последова­тельностью определяется необходимая степень ужесточения защитных мер, структура рубежей (эшелонов) защиты информации.
Доступ сотрудника к конфиденциальным сведениям, осуществ­ляемый в соответствии с разрешительной системой, называется санкционированным. Разрешение (санкция) на доступ к этим сведениям всегда является строго персонифицированным и дается руководите­лем в письменном виде: приказом, утверждающим схему должност­ного или именного доступа к информации, резолюцией на докумен­те, списком-разрешением в карточке выдачи дела или на обложке дела, списком ознакомления с документом.
Организационные меры защиты отражаются в нормативно-методических документах службы безопасности фирмы. В этой свя­зи часто используется единое название двух рассмотренных выше элементов системы защиты - элемент организационно-правовой за­щиты информации.
Элемент технической защиты включает:
средства защиты технических каналов утечки информации, воз­никающих при работе ЭВМ, средств связи, копировальных аппа­ратов, принтеров, факсов и других приборов и оборудования;
средства защиты помещений от визуальных и акустических спо­собов технической разведки;
средства охраны зданий и помещений от проникновения посто­ронних лиц (средства наблюдения, оповещения, сигнализации, ин­формирования и идентификации, инженерные сооружения);
средства противопожарной охраны;
средства обнаружения приборов и устройств технической раз­ведки (подслушивающих и передающих устройств, звукозаписываю­щей и телевизионной аппаратуры и т.п.).
Элемент программно-математической защиты информации включает:
регламентацию доступа к электронным документам персональ­ными паролями, идентифицирующими командами и другими про­стейшими методами защиты;
регламентацию специальных средств и продуктов программной защиты;
регламентацию криптографических методов защиты информа­ции в ЭВМ и сетях, криптографирования (шифрования) текста до­кументов при передаче их по каналам обычной и факсимильной связи, при пересылке почтой.
В каждом элементе защиты могут быть реализованы на практике только отдельные составные части. Например, в организационной защите можно регламентировать только приемы обработки конфи­денциальных документов и систему доступа к ним персонала. Мето­ды и средства защиты информации в рамках системы защиты Долж­ны регулярно изменяться с целью предотвращения их раскрытия злоумышленником.
Конкретная система защиты информации фирмы всегда являет­ся строго конфиденциальной. Разработчики этой системы никогда не должны быть ее пользователями.
Следовательно, используемая фирмой система защиты ценной, конфиденциальной информации является индивидуализированной совокупностью необходимых элементов защиты, каждый из которых в отдельности решает свои специфические для данной фирмы зада­чи и обладает конкретизированным относительно этих задач содер­жанием. В комплексе эти элементы формируют многорубежную за­щиту секретов фирмы и дают относительную гарантию безопасности предпринимательской деятельности фирмы.

11.4. Технология защиты документной
информации

11.4.1. Защищенный документооборот

Документооборот как объект защиты представляет собой сово­купность (сеть) каналов распространения документированной кон­фиденциальной информации по потребителям в процессе управлен­ческой и производственной деятельности.
Движение документированной информации нельзя рассматри­вать только как механическое перемещение документов по инстан­циям, как функцию почтовой доставки корреспонденции адресатам. Основной характеристикой такого движения является его техноло­гическая комплексность, т.е. соединение в единое целое управленче­ских, делопроизводственных и почтовых задач, определяющих в со­вокупности смысл перемещения документа.
При движении документов (в том числе электронных) по ин­станциям создаются потенциальные возможности утраты этой ин­формации за счет расширения числа источников, обладающих цен­ной информацией.
Угрозы документам в документопотоках включают в себя:
кражу (хищение), утерю документа или его отдельных частей (приложений, экземпляров, листов, вклеек, вставок, черновиков, редакций и т.п.);
копирование бумажных и электронных документов, фото-, ви­део-, аудиодокументов и баз данных;
подмену документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;
тайное или разрешенное ознакомление с документами и базами данных, запоминание и пересказ информации злоумышленнику;
дистанционный просмотр документов и изображений дисплея с помощью специальных технических средств;
ошибочные действия персонала при работе с документами (на­рушение разрешительной системы, порядка обработки документов, правил обращения с документами и т.п.);
случайное или умышленное уничтожение ценных документов и баз данных, их несанкционированная модификация, искажение и фальсификация;
считывание данных в чужих массивах за счет работы с остаточ­ной информацией на копировальной ленте, бумаге, дисках ЭВМ;
маскировка под зарегистрированного пользователя;
утечка информации по техническим каналам при обсуждении и диктовке текста документа, изготовлении документов.
Главным направлением защиты документированной информа­ции (документов) от всех видов угроз является формирование защи­щенного документооборота и использование в обработке и хранении документов технологической системы, обеспечивающей безопас­ность информации на любом типе носителя. За счет этого достига­ется возможность контроля конфиденциальной информации в ее источниках и каналах распространения.
Помимо общих для документооборота принципов защищенный документооборот базируется на ряде дополнительных принципов:
персональной ответственности сотрудников за сохранность но­сителя и тайну информации;
ограничении деловой необходимости доступа персонала к доку­ментам, делам и базам данных;
операционном учете документов и контроле за их сохраннос­тью в процессе движения, рассмотрения, исполнения и использо­вания;
жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала.
В крупных предпринимательских структурах с большим объе­мом документов в потоках защищенность документооборота дости­гается за счет:
формирования самостоятельных, изолированных потоков кон­фиденциальных (грифованных) документов и, часто, дополнитель­ного разбиения их на изолированные потоки в соответствии с уров­нем конфиденциальности (уровнем грифа) перемещаемых докумен­тов;
использования централизованной автономной технологической системы обработки и хранения конфиденциальных документов, изо­лированной от системы обработки других документов;
организации самостоятельного подразделения (службы) конфи­денциальной документации или аналогичного подразделения, вхо­дящего в состав службы безопасности, аналитической службы фир­мы.
В предпринимательских структурах с небольшим составом штат­ных сотрудников и объемом обрабатываемых документов (например, в малом бизнесе), а также в структурах, основная масса документов в которых является конфиденциальной (например, в банках, страхо­вых компаниях), конфиденциальные документы могут не выделять­ся из общего документопотока и обрабатываться в рамках единой технологической системы. Подразделение конфиденциальной доку­ментации в таких предпринимательских структурах обычно не со­здается. Функции централизованной обработки и хранения конфи­денциальных документов возлагаются на управляющего делами, ре­ферента или иногда опытного секретаря-референта фирмы.
При любом варианте построения защищенного документообо­рота предпринимаемые для безопасности информации меры не долж­ны увеличивать сроки движения и исполнения документов.
Одним из важнейших требований к защищенному документо­обороту является избирательность в доставке и использовании пер­соналом ценной информации.
Избирательность предназначена не только для обеспечения опе­ративности в получении пользователем ценной информации, но и ограничения в доставке ему той информации, работа с которой ему разрешена в соответствии с его функциональными обязанностями. В основе избирательности в доставке и использовании конфиденци­альных документов лежит действующая в фирме разрешительная (разграничительная) система доступа персонала к конфиденциаль­ной информации, документам, делам и базам данных. Система в данном случае предусматривает целенаправленное дробление кон­фиденциальной информации между сотрудниками на составные эле­менты, каждый из которых в отдельности значительной ценности не представляет.
Защита документированной информации в потоках достигается одновременным использованием как разрешительных (ограничи­тельных) мер, так и комплексом технологических процедур и опера­ций, которые входят в систему обработки и хранения документов, обеспечивающую рассмотрение, исполнение, использование и дви­жение документов.
В защищенном документообороте в большинстве случаев ис­пользуется традиционная (ручная, делопроизводственная) техноло­гическая система обработки и хранения конфиденциальных документов. В отдельных случаях автоматизируются (при сохранении традиционного учета документов) справочные и поисковые задачи, контроль исполнения. Технологическая система приобретает сме­шанный характер.
Следует подчеркнуть, что технологические системы обработки и хранения конфиденциальных и открытых документов базируются на единой научной и методической основе. Они едины по структуре. Однако между ними наблюдаются некоторые различия. Так, техно­логическая система обработки и хранения открытых документов (де­лопроизводственная, автоматизированная или смешанная) предназ­начена для решения задач в одной сфере - документационного обес­печения управления.
В свою очередь, технологическая система обработки и хранения конфиденциальных документов решает задачи не только в указан­ной сфере, но и в сфере защиты информации конфиденциальных документов при работе с ними персонала. К этим задачам можно отнести следующие:
предупреждение несанкционированного доступа любого лица к документу, его частям, вариантам, черновикам, копиям;
обеспечение физической сохранности документов и носителей конфиденциальной информации;
обеспечение сохранности тайны фирмы, ценной информации, содержащейся в документах.
Кроме того, технологическая система обработки и хранения кон­фиденциальных документов распространяется не только на управ­ленческую (деловую) документацию, но и на конфиденциальные конструкторские, технологические, научно-технические и другие по­добные документы, документированную информацию, записанную на различных технических носителях. Защита технических носите­лей конфиденциальной информации (машиночитаемых документов) имеет важное значение особенно на внемашинных стадиях их обра­ботки и хранения. Именно на этих стадиях велика вероятность утра­ты носителя, его копирования или уничтожения, подмены и фальси­фикации.
Обработка и хранение конфиденциальных документов на раз­личных стадиях их движения имеет свои особенности.

11.4.2. Обработка поступивших и отправляемых
документов

В процессе обработки поступивших конфиденциальных доку­ментов решаются следующие задачи защиты информации и ее носи­телей:
не допустить попадания в данную фирму конфиденциальных документов других фирм и организаций;
убедиться, что конверты, пакеты с конфиденциальными доку­ментами не вскрывались на пути следования от отправителя до адре­сата;
предотвратить утрату документов после вскрытия пакета;
исключить возможность ознакомления технических работников фирмы с конфиденциальными документами;
исключить возможность ознакомления любых работников фир­мы с конфиденциальными документами, имеющими пометку «Лич­но»;
не допустить утерю документов и их частей за счет неполного
изъятия их из конвертов;
убедиться в комплектности документа, наличии всех листов, экземпляров и иных частей, отсутствии факта подмены документа. Пакеты, конверты, содержащие конфиденциальные документы, поступают из почтового отделения связи (ценные, заказные и про­стые отправления), от курьеров учреждений и фирм, от посетителей. Эти документы могут также приходить по факсимильной связи, эле­ктронной почте, по телеграфной и телетайпной связи.
Трудность выделения конфиденциальных документов из общего потока корреспонденции состоит в том, что на пакетах, конвертах и часто на самих документах не ставится гриф конфиденциальности. Объясняется это не только сугубо индивидуальным подходом к при­своению информации статуса конфиденциальной, но и нежеланием отправителя обращать внимание посторонних лиц на гриф ограни­чения доступа.
Учитывая эту особенность, вскрытие конвертов, предваритель­ное рассмотрение и распределение всей поступающей корреспонден­ции выполняется квалифицированным сотрудником службы конфи­денциальной документации фирмы, хорошо знающим структуру фирмы, функции структурных подразделений и сотрудников, состав конфиденциальной информации. Документы, поступающие по ли­ниям факсимильной связи, также просматриваются этим сотрудни­ком с целью определения возможной их конфиденциальности.
Сотрудник вскрывает все пакеты, конверты, бандероли (кроме имеющих пометку «Лично»), проверяет правильность адресования и комплектность документов. Поступившие документы он делит на две группы: имеющие гриф или какую-либо отметку ограничения досту­па и не имеющие такой отметки.
Документы второй группы сравниваются с перечнем документов фирмы, отнесенных к категории конфиденциальных. Подобный перечень регулярно корректируется в соответствии с изменениями в деятельности фирмы, появлением новых видов работы, составлен­ными прогнозами и планами. При совпадении наименования или темы поступившего документа с одной из позиций перечня на доку­менте ставится гриф ограничения доступа необходимого уровня кон­фиденциальности. Одновременно ставится срок действия грифа и условия его снятия, указанные в перечне.
Если документ поступил с грифом ограничения доступа, то этот гриф не может быть снят даже в случае, когда данный документ не входит в указанный выше перечень. Гриф может быть изменен толь­ко в сторону повышения уровня конфиденциальности, потому что фирма обязана защищать не только свои секреты, но и секреты всех юридических и физических лиц, установивших контакт с данной фирмой.
Все поступившие конфиденциальные документы подлежат не­медленному учету. Документы, не отнесенные к разряду конфиден­циальных, повторно внимательно просматриваются и передаются сотруднику, занятому обработкой и хранением открытых докумен­тов.
В процессе обработки отправляемых конфиденциальных доку­ментов решаются следующие задачи защиты информации и ее носи­телей:
исключить возможность тайного вскрытия пакета и несанкцио­нированного ознакомления с документами в процессе их пересылки (передачи) адресату, подмены документов и листов;
ограничить возможности утери, кражи или подмены пакета с конфиденциальным документом;
подтвердить факт отправки документа и правильность оформле­ния этого факта в учетных формах;
исключить ошибочную отправку документа, пакета другому ад­ресату, необоснованную рассылку документов ряду адресатов.
Конвертование и отправка конфиденциальных документов осу­ществляются сотрудником службы конфиденциальной документации фирмы. Отправка документов лично исполнителями не допускается.
Разрешением на отправку исходящего конфиденциального до­кумента является подписанное первым руководителем фирмы сопро­водительное письмо к документу или разрешительная запись, сде­ланная лично руководителем в учетной карточке, если документ от­правляется без сопроводительного письма.
При пересылке конфиденциальных документов почтой или по каналам факсимильной или иной оперативной связи текст докумен­та шифруется.
Конфиденциальные документы упаковываются в два пакета, т. е. производится их двойное пакетирование. На внутреннем пакете указываются: гриф конфиденциальности, фамилия лица, которому документ адресуется, номера вложенных документов, при необходи­мости ставится пометка «Лично». Внутренний пакет опечатывается бумажными наклейками, на которых ставится печать «Для пакетов» или печать службы конфиденциальной документации фирмы. Внеш­ний пакет оформляется в соответствии с Почтовыми правилами, указанные выше сведения на него не выносятся.
Пакеты с конфиденциальными документами пересылаются цен­ными отправлениями. Передача их в почтовое отделение фиксирует­ся в почтовом реестре, копия которого с почтовым штемпелем поме­щается в соответствующее дело.
Чаще всего пакеты с конфиденциальными документами переда­ются адресатам курьерами (нарочными) фирмы. В этом случае двой­ное конвертование, как правило не применяется. Все необходимые отметки делаются на одном светонепроницаемом пакете, который опечатывается. Передача документов курьером фиксируется в раз­носной книге или реестре, расписке.
Следовательно, обработка поступивших и отправляемых конфи­денциальных документов связана с выполнением ряда дополнитель­ных процедур и отличается усложненной технологией, позволяющей решить не только чисто экспедиционные задачи, но и задачи защи­ты информации и носителя от возможного несанкционированного доступа.

11.4.3. Учет конфиденциальных документов и
формирование справочно-информационного
банка данных по документам

Учет конфиденциальных документов предусматривает не только регистрацию факта создания (издания) или получения документа, но и обязательную фиксацию всех перемещений документа по ин­станциям, руководителям и исполнителям в процессе рассмотрения, исполнения и использования документов. Учет этих документов и их хранение всегда централизованы в подразделении конфиденциаль­ной документации фирмы или у референта первого руководителя.

<< Пред. стр.

страница 9
(всего 19)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign