Организации конфиденциального делопроизводства в информационной безопасности уделяется, как правило, наименьшее внимание, хотя получение конфиденциальной информации через пробелы в делопроизводстве является наиболее простым и малозатратным способом получения информации.
Составные части делопроизводства:
При ведении конфиденциального делопроизводства необходимо соблюдать следующие правила:
Порядок создания бумажного делопроизводства
1 этап – создание Секретариата (подразделения, отвечающего за делопроизводство) или введение в штат должности, в чьи функциональные обязанности будет входить обеспечение делопроизводства организации.
2 этап – закупка необходимых принадлежностей для функционирования делопроизводства (сейфы, печати, оборудование помещений и т.д.).
3 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).
4 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей.
5 этап - создание механизмов контроля за соблюдением делопроизводства.
6 этап – создание механизма ответственности за нарушение правил делопроизводства.
Делопроизводство должно быть организовано в соответствии с ГОСТами, применяемыми в Российской Федерации. Основа - ГОСТ 6.30–97 «Унифицированные системы документации. Система организационно–распорядительной документации. Требования к оформлению документов».
Порядок создания конфиденциального бумажного делопроизводства
1 этап - создание обычного бумажного делопроизводства.
2 этап - определение перечня сведений конфиденциального характера и документов, содержащих конфиденциальные сведения. Разделение сведений на несколько групп по степени конфиденциальности (например: строго конфиденциальные, конфиденциальные, для служебного пользования).
3 этап - утверждение перечня сведений конфиденциального характера у руководства, а также определение порядка и сроков переутверждения данного перечня, а также снижение и снятие грифа конфиденциальности.
4 этап - определение правил конфиденциального бумажного делопроизводства на основе общего бумажного делопроизводства.
5 этап – определение порядка допуска сотрудников к сведениям конфиденциального характера.
6 этап - заключение договоров о нераспространении конфиденциальных сведений мажду сотрудниками, которые будут допущены к работе с конфиденциальной информацией и руководством организации.
7 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).
8 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей.
9 этап - создание механизмов контроля за соблюдением конфиденциального делопроизводства.
10 этап – создание механизма ответственности за нарушение правил конфиденциального делопроизводства.
Составные части бумажного делопроизводства:
Делопроизводство, связанное со стандартными, но специфическими задачами:
Делопроизводство, связанное с текущей деятельностью:
Внешнее делопроизводство:
Внутреннее делопроизводство:
Необходимые нормативные документы для функционирования делопроизводства, в том числе конфиденциального:
Нормативно-правовые документы организации с внесенными изменениями и дополнениями, связанными с сохранностью конфиденциальной информации:
Договор между руководством организации и сотрудником о сохранении конфиденциальной информации.
Инструкция по обеспечению сохранности конфиденциальной информации в организации. Примерный план инструкции:
Инструкция по организации делопроизводства. Инструкция должна состоять из следующих разделов:
Инструкция по конфиденциальному делопроизводству, определяющая:
Положение о Секретариате (подразделении отвечающего за бумажное и электронное делопроизводство).
Должностные обязанности сотрудников Секретариата по обеспечению делопроизводства.
Корпоративное конфиденциальное электронное делопроизводство должно состоять из следующих взаимосвязанных систем:
Система электронного конфиденциального документооборота должна предусматривать следующие возможности:
Система конфиденциального электронного информационного хранилища должна предусматривать возможность:
Система защиты конфиденциального электронного делопроизводства должна состоять из следующих взаимосвязанных блоков:
Блок технических (программных) средств защиты электронного делопроизводства должен быть многорубежный. Наиболее эффективной является система, состоящая из 3 рубежей:
1 рубеж – системы защиты информации, предусмотренные программным обеспечением, на которой работает компьютерная сеть (средства защиты Windows, Office и т.д.);
2 рубеж – системы защиты информации, встроенные в саму систему электронного делопроизводства;
3 рубеж – системы защиты информации, дополнительно установленные в компьютерной сети на сервере и на рабочих местах пользователя
Блок технических (программных) средств защиты электронного делопроизводства должен предусматривать:
Системы сопряжения электронного и бумажного делопроизводства состоят из:
Представляется целесообразным хождение документа внутри организации осуществлять в электронном виде. Полученные в бумажном виде документы извне сканируются и дальнейшая работа с ними происходит в электронном виде. Полученные извне электронные документы обрабатываются в организации в электронном виде. Перед отправкой исходящие документы (письма, факсы) преобразуются из электронного в бумажное представление и их отправка производятся обычными способами. При необходимости возможна отправка документа и в электронном виде.
Об авторе: Панкратьев Вячеслав Вячеславович, преподаватель курса “Корпоративная безопасность» в:
Институте бизнеса и делового администрирования Академии народного хозяйства при Правительстве РФ;
Высшей школе международного бизнеса Академии народного хозяйства при Правительстве РФ;
Высшей школе корпоративного управления Академии народного хозяйства при Правительстве РФ;
Центре коммерциализации технологий Академии народного хозяйства при Правительстве Российской Федерации;
Центре международного бизнеса и регионального развития Академии народного хозяйства при Правительстве Российской Федерации;
Академии народного хозяйства при Правительстве РФ (факультет академических программ обучения);
Академии народного хозяйства при Правительстве РФ (факультет финансового и банковского дела);
Академии народного хозяйства при Правительстве РФ (факультет государственного управления);
Высшей коммерческой школе Министерства экономического развития и торговли РФ;
Высшей школе бизнеса Московского государственного университета;
Классической бизнес-школе (до 2000 года)
Информация взята с сайта www.security.strongdisk.ru
Автор: В. Панкратьев
Вы заражены? Обнаружение злонамеренного программного обеспечения
Обсудим стратегию malware. Во-первых, malware вызывает необычное поведение системы. Оно может быть создано для размножения, как в случае вирусов, или для причинения разрушения или повреждения в систем...
Что общего между шифрованием и линией Мажино?
Шифрование само по себе не решает никаких проблем. Без применения дополнительных мер защиты (технических и организационных) использование шифрования лишь введет вас в заблуждение по поводу вашей защищ...
Комплексная антивирусная защита локальной сети.
В статье изложен подход, не требующий больших технических и немедленных финансовых затрат, и который может быть применён для комплексной антивирусной защиты локальной сети любого предприятия.
Обзор проблем безопасности мобильной связи с зарождения и по настоящее время
В статье исследуется эволюция сотовых систем подвижной связи поколение за поколением, анализируются недостатки каждого из них, прежде всего с точки зрения информационной безопасности применяемых техно...
Безопасность локальных сетей
В статье рассмотрены о угрозы и препятствия, стоящие на пути к безопасности сети: технические угрозы и угрозы, связанные с человеческим фактором, и применение криптографических алгоритмов для защиты с...