Организация конфиденциального делопроизводства

Организации конфиденциального делопроизводства в информационной безопасности уделяется, как правило, наименьшее внимание, хотя получение конфиденциальной информации через пробелы в делопроизводстве является наиболее простым и малозатратным способом получения информации.

Составные части делопроизводства:

бумажное делопроизводство; электронное делопроизводство; системы взаимодействия и сопряжения бумажного и электронного делопроизводства.

При ведении конфиденциального делопроизводства необходимо соблюдать следующие правила:

присвоение и снятие грифа конфиденциальности должно осуществляться руководством компании; обязательная регистрация и учет всех конфиденциальных документов, а также передача их исполнителю под расписку в реестре; контроль не только документов, содержащих конфиденциальную информацию, но и бумаг с печатями, штампами, бланками, особенно бланков строгой отчетности, содержащих уникальный номер, зарегистрированных установленным способом и имеющих специальный режим использования; организационное выделение конфиденциального делопроизводства из обычного; гриф конфиденциальности документа присваивается по наивысшей степени конфиденциальности сведений, в нем изложенных; создание конфиденциальных документов производится в изолированных, специально оборудованных помещениях, прием и выдача документов производится через специальное окно, не выходящее в общий коридор или барьер, ограничивающий доступ к рабочим местам лиц, создающих конфиденциальные документы; уничтожение конфиденциальных документов, в том числе черновиков, в машинках для уничтожении бумаг (шредерах) в присутствии нескольких человек и с проставлением соответствующих пометок в журналах уничтожения конфиденциальных документов. При большом количестве документов возможно их сжигание; запрещение выноса из контролируемой территории конфиденциальных документов; к работе с конфиденциальными документами допускаются только лица, заключившие соответствующие договора о нераспространении коммерческой тайны; хранение конфиденциальных документов только в сейфах; в делах или в архивах конфиденциальные документы должны храниться отдельно от открытых, по завершении оформления дел на последнем листе делается запись о количестве пронумерованных в нем листов, заверенная соответствующей подписью и печатью; включать в документы только минимально необходимую конфиденциальную информацию; рассылка конфиденциальных документов должна быть обоснованной и сведена к минимуму; система учета (ручная или компьютерная) конфиденциальных документов должна предоставлять необходимые удобства поиска и контроля за местонахождением каждого конфиденциального документа; организационно исключить необоснованное ознакомление с документами лиц, не имеющих нужных полномочий; отправку конфиденциальных документов производить только заказными или ценными письмами, по каналам специальной связи или осуществлять доставку корреспонденции нарочным из числа сотрудников, допущенных к работе с такими документами; контроль за использованием копировально-множительной техники, а также блокирование систем ввода-вывода информации на компьютерах, обрабатывающих конфиденциальную информацию; организация периодической проверки делопроизводства.

Порядок создания бумажного делопроизводства

1 этап – создание Секретариата (подразделения, отвечающего за делопроизводство) или введение в штат должности, в чьи функциональные обязанности будет входить обеспечение делопроизводства организации.

2 этап – закупка необходимых принадлежностей для функционирования делопроизводства (сейфы, печати, оборудование помещений и т.д.).

3 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).

4 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей.

5 этап - создание механизмов контроля за соблюдением делопроизводства.

6 этап – создание механизма ответственности за нарушение правил делопроизводства.

Делопроизводство должно быть организовано в соответствии с ГОСТами, применяемыми в Российской Федерации. Основа - ГОСТ 6.30–97 «Унифицированные системы документации. Система организационно–распорядительной документации. Требования к оформлению документов».

Порядок создания конфиденциального бумажного делопроизводства

1 этап - создание обычного бумажного делопроизводства.

2 этап - определение перечня сведений конфиденциального характера и документов, содержащих конфиденциальные сведения. Разделение сведений на несколько групп по степени конфиденциальности (например: строго конфиденциальные, конфиденциальные, для служебного пользования).

3 этап - утверждение перечня сведений конфиденциального характера у руководства, а также определение порядка и сроков переутверждения данного перечня, а также снижение и снятие грифа конфиденциальности.

4 этап - определение правил конфиденциального бумажного делопроизводства на основе общего бумажного делопроизводства.

5 этап – определение порядка допуска сотрудников к сведениям конфиденциального характера.

6 этап - заключение договоров о нераспространении конфиденциальных сведений мажду сотрудниками, которые будут допущены к работе с конфиденциальной информацией и руководством организации.

7 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).

8 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей.

9 этап - создание механизмов контроля за соблюдением конфиденциального делопроизводства.

10 этап – создание механизма ответственности за нарушение правил конфиденциального делопроизводства.

Составные части бумажного делопроизводства:

Делопроизводство, связанное со стандартными, но специфическими задачами:

бухгалтерия; учредительные документы; судебно-процессуальные документы; договорные документы и т.д.

Делопроизводство, связанное с текущей деятельностью:

Внешнее делопроизводство:

доставка входящей корреспонденции (в бумажном виде, в виде факса и т.д.); отправление исходящей корреспонденции (в бумажном виде, в виде факса и т.д.);

Внутреннее делопроизводство:

хранение документов: хранение документов у сотрудников; хранение документов в Секретариате. создание документов у исполнителя; издание нормативных документов руководством организации (приказы, распоряжения и т.д.); регистрация документа в Секретариате; движение документа внутри организации. Создание реестровой системы передачи документов; размножение документов (снятие копий); контроль за исполнением документов; создание архивов документов. Экспертиза ценности документов. Возможность использования в работе документов, определенных в архив; уничтожение документов.

Необходимые нормативные документы для функционирования делопроизводства, в том числе конфиденциального:

Нормативно-правовые документы организации с внесенными изменениями и дополнениями, связанными с сохранностью конфиденциальной информации:

Устав организации; “Коллективный договор”; правила внутреннего трудового распорядка для сотрудников; трудовой договор; заключаемые договора.

Договор между руководством организации и сотрудником о сохранении конфиденциальной информации.

Инструкция по обеспечению сохранности конфиденциальной информации в организации. Примерный план инструкции:

общие положения; определение информации и обозначение документов, содержащих конфиденциальную информацию, и сроков ее действия; организация работы с конфиденциальными документами; порядок сохранности документов, дел и изданий, содержащих конфиденциальную информацию; порядок допуска к сведениям, составляющим конфиденциальную информацию; контроль за выполнением требований внутри объектного режима при работе со сведениями содержащими конфиденциальную информацию; обязанности сотрудников организации, работающих со сведениями представляющими конфиденциальную информацию, и их ответственность за ее разглашение.

Инструкция по организации делопроизводства. Инструкция должна состоять из следующих разделов:

общие положения; правила составления и оформления документов; составление и оформление основных видов документов; организация документооборота: порядок движения и обработки входящих документов; порядок движения и обработки исходящих документов; порядок движения и обработки внутренних документов; регистрация документов; контроль исполнения документов; систематизация документов; разработка номенклатуры дел; формирование дел; подготовка документов к архивному хранению; экспертиза ценности документов; описание документов постоянного и временного сроков хранения; обеспечение сохранности дел; передача дел в архив; приложения:
примерный перечень документов, не подлежащих регистрации; перечень документов, на которых ставится печать; перечень документов, подлежащих утверждению; перечень документов, подлежащих согласованию; форма регистрационно–контрольной карточки; перечень документов, подлежащих контролю за исполнением, с указанием сроков хранения; акт о выделении к уничтожению документов с истекшими сроками хранения; внутренняя опись документов дела; опись дел, передаваемых на архивное хранение.

Инструкция по конфиденциальному делопроизводству, определяющая:

порядок выноса-вноса конфиденциальных документов применительно к охраняемой территории; порядок работы с конфиденциальными документами вне служебных помещений; порядок изготовления и использования бланков организации, печатей и штампов; порядок использования бланков строгой отчетности (бланков организации, подготавливаемых за подписью первых лиц организации); порядок передачи конфиденциальных документов в случае ухода в отпуск, командировку или увольнение с работы; порядок подготовки конфиденциальных документов, его согласование, в том числе с юристами, финансистами, корректорами, а также порядок подписи конфиденциальных документов; порядок пересылки конфиденциальных документов вне контролируемых помещений.

Положение о Секретариате (подразделении отвечающего за бумажное и электронное делопроизводство).

Должностные обязанности сотрудников Секретариата по обеспечению делопроизводства.

Корпоративное конфиденциальное электронное делопроизводство должно состоять из следующих взаимосвязанных систем:

системы электронного конфиденциального документооборота; системы защиты информации, циркулирующей в системе электронного конфиденциального документооборота; системы электронного конфиденциального информационного хранилища; системы сопряжения конфиденциального электронного и бумажного документооборота.

Система электронного конфиденциального документооборота должна предусматривать следующие возможности:

возможность создания электронных документов с помощью текстовых редакторов, включая создание электронных документов по типовым формам; возможность создания составных электронных документов, состоящих из нескольких разных по формату файлов; возможность создания электронных документов с помощью сканирования документа на бумажном носителе; возможность создания электронных документов с помощью иных электронных данных, полученных с помощью: электронной почты; корпоративной компьютерной сети; устройств ввода компьютерной информации (дисководы и т.д.). работу с электронными документами различных форматов (текстовых, графических и т.д.). создание регистрационной карточки электронного документа, связки регистрационной карточки с электронным документом и присвоение необходимых реквизитов, среди которых: дата создания, получения, исполнения; регистрационный номер; фамилия, имя, отчество исполнителя, адресата; права доступа; степень конфиденциальности; количество листов и т.д. разделения документов по степени конфиденциальности, присвоение каждому документу грифа конфиденциальности и разграничение права пользователей работы с конфиденциальными документами по мандатному принципу. получения и отправления электронных документов (документооборот) по корпоративной компьютерной сети, а также по электронной почте. работы с взаимосвязанными документами, поддержание возможности установления ссылок между учетными карточками или документами, связанных тематически, отменяющих или дополняющих друг друга (например с помощью гиперссылок с возможностью просмотра цепочки взаимосвязанных документов). контроля передвижения электронных документов по сети и контроля ознакомления с электронными документами, а также контроля за копированием, редактированием и размножением электронных документов. осуществления контрольных функций (контроля исполнения резолюций, поручений, сроков исполнения и т.д.), а также возможность сигнального режима, как составной части контроля. поиска электронных документов по:
реквизитам; ключевым словам; содержанию; дате создания; контрольным срокам; исполнителю и т.д. анализа электронных документов по:
тематике; проблематике; исполнителям; резолюциям; дате создания и т.д. дублирования (архивирования) электронных документов с заданной периодичностью, а также ведение систематизированных электронных архивов документов, их образов, учетных карточек с возможностью поиска и анализа. разделение конфиденциального и открытого электронного делопроизводства.

Система конфиденциального электронного информационного хранилища должна предусматривать возможность:

систематизирования поступающих в хранилище документов различных видов и форм и упорядочения работы с ними; гарантированно сохранять документы в массивах хранилища, освободив от этой функции сотрудников; отслеживать движение документов, выдаваемых сотрудникам, контролировать и обеспечивать их возврат (физические документы) и уничтожение выданных электронных копий; обеспечивать эффективный поиск нужных документов в хранилище по идентификационным признакам; организовать малозатратную технологию выдачи документов сотрудникам и возврат документов в хранилище; уменьшить количество документов, одновременно находящихся у исполнителя за счет оперативного их получения из хранилища; упростить работу с документами, находящимися в хранилище, и сократить временные затраты на их подборку и анализ за счет дружественного интерфейса в интерактивном режиме; обеспечить режим безопасности документов в процессе их хранения, передачи в хранилище или получения из хранилища за счет использования современных технологий и средств информационной безопасности, а также разграничение доступа пользователей.

Система защиты конфиденциального электронного делопроизводства должна состоять из следующих взаимосвязанных блоков:

блок технических (программных) средств защиты электронного делопроизводства; блок технических средств защиты электронного делопроизводства, связанных с нейтрализацией побочных электромагнитных излучений и наводок; блок методов защиты электронного делопроизводства, связанных с человеческим фактором и решением кадровых вопросов; блок организационных методов защиты электронного делопроизводства.

Блок технических (программных) средств защиты электронного делопроизводства должен быть многорубежный. Наиболее эффективной является система, состоящая из 3 рубежей:

1 рубеж – системы защиты информации, предусмотренные программным обеспечением, на которой работает компьютерная сеть (средства защиты Windows, Office и т.д.);

2 рубеж – системы защиты информации, встроенные в саму систему электронного делопроизводства;

3 рубеж – системы защиты информации, дополнительно установленные в компьютерной сети на сервере и на рабочих местах пользователя

Блок технических (программных) средств защиты электронного делопроизводства должен предусматривать:

криптографическую защиту компьютерной информации на магнитных носителях (жестких дисках, дискетах, Zip, CD-ROM и т.д.), в том числе создание защищенных «цифровых сейфов» пользователей на сервере; защиту информации (в том числе криптографическими методами) при пересылки по корпоративной компьютерной сети; защиту информации (в том числе криптографическими методами) при передаче по электронной почте; защиту компьютерной информации от несанкционированного доступа; защиту компьютерной сети при работе в глобальной информационной сети Интернет (в идеальном случае для работы с Интернетом, а также с электронной почтой необходим отдельный компьютер, работающий в автономном режиме); мандатный принцип доступа пользователей к информационным ресурсам электронного делопроизводства, включающий в себя:
контроль и защиту электронного документа от просмотра; контроль и защиту электронного документа от редактирования и отмена защиты от редактирования; контроль и защиту электронного документа от копирования и распечатывания на принтерах; разделение пользователей на группы и наделение каждой группы возможности работы только с электронными документами определенного грифа конфиденциальности контроль целостности и достоверности электронного документа, а также подтверждение авторства исполнителя с помощью электронной цифровой подписи; защиту от вредоносных программ (вирусов); парольную защиту на включение машины, на обращение к жесткому диску и/или на открытие файлов прикладных программ с периодическим изменением используемых паролей.

Системы сопряжения электронного и бумажного делопроизводства состоят из:

системы перевода бумажного документа в электронный документ; системы перевода электронного документа в бумажный документ; системы электронного контроля за бумажным документооборотом; системы параллельного хождения одного и того же документа в электронном и бумажном виде.

Представляется целесообразным хождение документа внутри организации осуществлять в электронном виде. Полученные в бумажном виде документы извне сканируются и дальнейшая работа с ними происходит в электронном виде. Полученные извне электронные документы обрабатываются в организации в электронном виде. Перед отправкой исходящие документы (письма, факсы) преобразуются из электронного в бумажное представление и их отправка производятся обычными способами. При необходимости возможна отправка документа и в электронном виде.

Об авторе: Панкратьев Вячеслав Вячеславович, преподаватель курса “Корпоративная безопасность» в:

Институте бизнеса и делового администрирования Академии народного хозяйства при Правительстве РФ; Высшей школе международного бизнеса Академии народного хозяйства при Правительстве РФ; Высшей школе корпоративного управления Академии народного хозяйства при Правительстве РФ; Центре коммерциализации технологий Академии народного хозяйства при Правительстве Российской Федерации; Центре международного бизнеса и регионального развития Академии народного хозяйства при Правительстве Российской Федерации; Академии народного хозяйства при Правительстве РФ (факультет академических программ обучения); Академии народного хозяйства при Правительстве РФ (факультет финансового и банковского дела); Академии народного хозяйства при Правительстве РФ (факультет государственного управления); Высшей коммерческой школе Министерства экономического развития и торговли РФ; Высшей школе бизнеса Московского государственного университета; Классической бизнес-школе (до 2000 года)

Информация об авторе статьи

Информация взята с сайта www.security.strongdisk.ru
Автор: В. Панкратьев

Случайные статьи

Вы заражены? Обнаружение злонамеренного программного обеспечения
Обсудим стратегию malware. Во-первых, malware вызывает необычное поведение системы. Оно может быть создано для размножения, как в случае вирусов, или для причинения разрушения или повреждения в систем...


Что общего между шифрованием и линией Мажино?
Шифрование само по себе не решает никаких проблем. Без применения дополнительных мер защиты (технических и организационных) использование шифрования лишь введет вас в заблуждение по поводу вашей защищ...


Комплексная антивирусная защита локальной сети.
В статье изложен подход, не требующий больших технических и немедленных финансовых затрат, и который может быть применён для комплексной антивирусной защиты локальной сети любого предприятия.


Обзор проблем безопасности мобильной связи с зарождения и по настоящее время
В статье исследуется эволюция сотовых систем подвижной связи поколение за поколением, анализируются недостатки каждого из них, прежде всего с точки зрения информационной безопасности применяемых техно...


Безопасность локальных сетей
В статье рассмотрены о угрозы и препятствия, стоящие на пути к безопасности сети: технические угрозы и угрозы, связанные с человеческим фактором, и применение криптографических алгоритмов для защиты с...


 




2,2316780090332