Каналы утраты конфиденциальной информации имеются на всех стадиях и этапах документооборота. К ним относятся:
1) кража (хищение) документа или отдельных его частей, носителя чернового варианта или рабочих записей;
2) несанкционированное копирование бумажных и электронных документов, баз данных, запоминание текстов документов;
3) тайное или разрешенное ознакомление сотрудника организации с документом и сообщение информации злоумышленнику лично или по линиям связи, прочтение текста документа по телефону, разглашение информации с помощью мимики, жестов, условных сигналов;
4) подмена документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;
5) дистанционный просмотр документов и изображений дисплея ЭВМ с помощью технических средств визуальной разведки;
6) ошибочные (умышленные или случайные) действия персонала организации при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами, технологии их обработки и хранения);
7) случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов;
8) считывание данных в чужих массивах информации за счет использования остаточной информации на средствах копирования и хранения информации;
9) утечка информации по техническим каналам при обсуждении и диктовке текста документа, работе с компьютером и средствами офисной техники;
10) гибель документа в условиях экстремальной ситуации;
11) непреднамеренные ошибки пользователей и сотрудников, обслуживающих информационные системы;
12) угрозы заряжения вычислительной и офисной техники вирусами.
В соответствии с приведенными каналами утраты конфиденциальной информации в каждой организации разрабатывается комплекс мероприятий по защите информации в документопотоках, направленный на предотвращение или ослабление угроз утраты информации.
Главным мероприятием защиты конфиденциальной информации в организации от возможных опасностей является применение в делопроизводстве защищенного документооборота. Под защищенным документооборотом понимается контролируемое движение конфиденциальной документированной информации по регламентированным пункта приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации.
Дополнительными мероприятиями, проводимыми в организации, в рамках защищенного документооборота являются:
1) ограничение доступа персонала к документам, делам и базам данных рамками выполняемых ими служебных обязанностей;
2) персональная ответственность должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и документам;
3) персональная ответственность каждого сотрудника организации за сохранность доверенного ему носителя и конфиденциальность информации;
4) жесткая регламентация порядка работы с документами, делами и базами данных для всех категорий персонала, в том числе первых руководителей организации.
Защищенность документопотоков в защищенном документообороте достигается за счет:
1) одновременного использования разрешительных, ограничительных и технологических приемов системы обработки и хранения документов;
2) нанесения на чистый носитель конфиденциальной информации или документ, в том числе сопроводительный, грифа ограничения доступа к документу, выделяющего его из общего потока документов;
3) формирование автономной технологической системы обработки и хранения конфиденциальных документов, не соприкасающейся с системой обработки открытых документов;
4) создания специальных подразделений, ведущих делопроизводство конфиденциальных документов и перемещения данных документов между руководителями, исполнителями и иным персоналом только через это подразделение.
Любому движению конфиденциального документа должны обязательно предшествовать операции по проверке комплектности, целостности и учету нового местонахождения документа не усложняющие работу персонала с документами и не увеличивающие сроки движения и исполнения документов.
Совокупность технологических стадий (алгоритмы работы с входящими и исходящими документами), сопровождающих потоки конфиденциальных документов, несколько отличаются от аналогичной совокупности технологических стадий потоков открытых документов, обусловленных мероприятиями защищенного документопотока.
3.8.2. Технология учета, обработки и исполнения конфиденциальных документов
Технология обработки и хранения конфиденциальных и открытых документов базируется на единой научной и методической основе. Однако технологическая система обработки и хранения конфиденциальных документов решает при этом дополнительную задачу защиту носителей информации и самой информации от потенциальных и реальных угроз их безопасности.
В отличие от открытых документов к обработке конфиденциальных документов с целью защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности предъявляются дополнительные требования:
1) централизация всех стадий, процедур и операций по обработке и хранению конфиденциальных документов;
2) операционный учет всех технологических действий, производимых с носителем информации (в том числе и чистым) и документом и учет каждого этапа движения документа;
3) учет всех без исключения конфиденциальных документов;
4) обязательный двойной контроль правильности выполнения операций по учету документа;
5) учет и обеспечение сохранности не только документов, но и учетных форм;
6) обязательная подпись руководителей, исполнителей и технического персонала при выполнении любых действий с документом в целях обеспечения персональной ответственности сотрудников организации за сохранность носителя и конфиденциальность информации;
7) ознакомление или работа с документом только на основании письменного разрешения полномочного руководителя и письменное фиксирование всех обращений персонала к документу;
8) строгий контроль выполнения персоналом введенных в организации правил работы с конфиденциальными документами, обязательных для всех категорий персонала;
9) систематические проверки наличия документов у исполнителей;
10) ежедневный контроль сохранности, комплектности, целостности и местонахождения каждого конфиденциального документа;
12 коллегиальность процедуры уничтожения документов, дел и баз данных;
13) письменное разрешение полномочными руководителями процедур копирования и размножения конфиденциальных документов и контроль технологии выполнения этих процедур.
Наиболее существенным отличием технологии обработки и хранения конфиденциальных документов от обычных является многоступенчатый учет всех процедур и операций, выполняемых с документами.
Учет (регистрация) конфиденциальных документов, прежде всего, преследует цель сохранности документов и фиксации их местонахождения. Поэтому, основная цель учета конфиденциальных документов – обеспечение их физической сохранности, комплектности и целостности, контроль за доступом к ним персонала, проверка реального наличия документов и аналитическая работа по осведомленности персонала о содержании документов.
В отличие от открытых документов конфиденциальные документы (на любом носителе) учитываются сразу при поступлении или перед изготовлением черновика документа, т. е. до рассмотрения, распределения или согласования и подписания.
Учет конфиденциальных документов всегда централизуется по категориям документов и делится на несколько видов, так называемых учетов, соответствующих стадиям технологической обработки документов в документопотоках и обеспечивающих четкое распределение учетных операций на каждом участке обработки документов. Это позволяет дробить знание тайны организации между несколькими независимыми работниками и осуществлять коллегиальность при контроле за сохранностью документов на каждом участке.
В организациях, как правило, ведутся следующие виды учета конфиденциальных документов:
1) учет конвертов (пакетов), содержащих конфиденциальные документы, а также учет документов, поступающих без конвертов, по телеграфной, факсимильной связи и электронной почте с грифом конфиденциальности;
2) учет поступления документов, не имеющих грифа конфиденциальности, но отнесенных к конфиденциальным документам в перечне конфиденциальных документов организации;
3) учет входящих документов;
4) учет исходящих и внутренних документов;
5) инвентарный учет документов;
6) номенклатурный учет дел.
При любом виде учета, как и при учете обычных документов, выполняются следующие процедуры:
1) индексирование документов;
2) первичная регистрация исходных сведений о документе;
3) последующая запись рабочих сведений о документе;
4) формирование справочно-информационной картотеки по документам;
5) контроль процесса полноты и правильности регистрации документов, сохранности документов и учетных форм.
Основой индексирования конфиденциальных документов является валовая нумерация всего потока документов в течение календарного года. Это гарантирует сохранность записи исходных сведений о документе и сохранность документов. К номеру документа может добавляться смысловой индекс, идентифицирующий дело, в котором будет храниться документ.
Сведения, включаемые в учетную форму, при регистрации конфиденциальных документов делятся на два блока. Первый блок фиксирует постоянные (исходные) сведения о документе (вид документа; наименование автора; дату; индекс; краткое содержание документа; количество листов; наличие и количество листов приложений.). Второй блок фиксирует переменные, текущие, рабочие сведения о движении документов и местонахождении документов (резолюцию руководителя; фамилию исполнителя; дату передачи документа; роспись за документ; различные отметки.).
Служба делопроизводства для регистрации исходных и рабочих сведений о конфиденциальном документе чаще всего применяет традиционную карточную форму учета документов. Однако, одним из ее серьезных недостатков является отсутствие определенной гарантии в сохранности учетных карточек в картотеке и возможность их легкой подмены. В связи с этим возникает необходимость учета карточек и ведения с этой целью специальной учетной формы.
При карточной форме учета на каждый конфиденциальный документ заполняются один – два экземпляра регистрационной карточки.
При заполнении одного экземпляра карточки она учитывается в контрольном (контрольно – учетном) журнале, обеспечивающем последовательность присвоения документам учетных номеров, контроль за наличием документов и карточек, ускорения их поиска и внесения отметок о местонахождении документа. В журнале напротив учетного номера документа указывается фамилия исполнителя, расписавшегося в карточке за получение документа.
При заполнении двух экземпляров карточки все указанные сведения фиксируются во втором экземпляре карточки, а функцию контрольного (контрольно – учетного) журнала выполняет валовая (нумерационная) учетная картотека.
В организациях, имеющих небольшой объем конфиденциальных документов, как правило, кратковременного периода ограничения доступа, учет этих документов может осуществляться в соответствии с правилами и в учетных формах открытого делопроизводства. В этом случае конфиденциальные документы дополнительно вносятся в инвентарную опись с валовой нумерацией документов. Этим обеспечивается целенаправленное наблюдение за сохранностью конфиденциальных документов, их движением и наличием, а также своевременным снятием грифа конфиденциальности. Перемещаются и хранятся конфиденциальные документы в этом случае отдельно от документов обычного потока документов.
Значительное место в обработке конфиденциальных документов занимает инвентарный (списочный, перечневый) учет следующих конфиденциальных документов:
1) не включенных в номенклатуру дел и не подлежащих подшивке в дела;
2) изъятые по какой либо причине из дела, переведенные на выделенное хранение и образовавшие самостоятельное дело, папку, альбом;
3) технические носители информации (чистые и с записанной информацией);
4) бумажные носители информации особо ценных документов для составления черновиков, оригиналов и подлинников документов;
5) при необходимости – журналы учета документов и учетные картотеки, книги выдачи дел и документов, законченные производством дела.
Инвентарный учет конфиденциальных документов ведется непрерывно. Номера каждого года продолжают номера предыдущих лет. Инвентарный номер указывается на документе в верхнем левом углу на первом и титульном листах.
На основе применяемых регистрационных форм создается справочно-информационный банк данных, предназначенный для контроля за сохранностью документов, накопления и систематизации исходных данных о документах, внесения в учетные формы рабочих сведений в процессе исполнения документов, обеспечения контроля исполнения и проверки наличия документов.
Банк данных по документам должен:
1) содержать полные и достоверные данные о всех конфиденциальных документах;
2) иметь единообразную форму построения, учетные формы, наименование граф однозначно понимаемых сотрудниками;
3) обладать минимальной трудоемкостью при его формировании и ведении;
4) обеспечивать сопоставление учетных номеров при переводе документа с одного вида учета на другой;
5) вестись по месту хранения конфиденциальных документов.
Справочно-информационный банк данных по конфиденциальным документам может быть традиционным или автоматизированным.
Традиционный справочно-информационный банк данных по конфиденциальным документам независимо от вида учета включает в себя:
1) журналы учета документов по видам учета или учетную валовую картотеку с разделами неисполненных и исполненных документов, в которой карточки располагаются в последовательности учетных номеров документов;
2) учетную картотеку на неисполненные документы, в которой первые экземпляры карточек располагаются по исполнителям;
3) справочную картотеку на исполненные документы, в которой освободившиеся (вторые) экземпляры карточек располагаются по корреспондентам или другому удобному для использования признаку;
4) кодификационную картотеку по распорядительным документам;
5) контрольную картотеку, в которой дополнительные экземпляры карточек располагаются по срокам исполнения документов;
6) передаточный журнал для фиксирования факта перемещения документа и учетной карточки с одного структурного подразделения в другое, от одного работника этого подразделения другому.
Автоматизированный справочно-информационный банк данных по конфиденциальным документам принципиально не отличается от банков данных открытой информации. При этом дополнительно организуется состава и динамики актуализации всех машинных массивов документов, всех типов магнитных носителей информации и записанных на них документов.
Автоматизированный справочно-информационный банк данных по конфиденциальным документам должен иметь следующие электронные учетные массивы:
1) инвентарную валовую опись традиционных, электронных и иных конфиденциальных документов организации с указанием их местонахождения или валовые описи учетных карточек документов по видам учета (контрольные журналы);
2) массивы электронных учетных карточек документов по видам учета;
3) массив электронных карточек учета выдачи документов по видам учета;
4) описи рабочего и архивного массивов электронных конфиденциальных документов по каждому компьютеру;
5) массив учетных карточек (описей) магнитных носителей с перечислением документов, записанных на каждом носителе;
6) описи документов (на любых носителях), находящихся у руководителей и исполнителей.
С целью предотвращения опасности утраты конфиденциальных документов и несанкционированного ознакомления с ними при получении в делопроизводстве выполняется комплекс технологических процедур, таких как: прием пакетов, их учет, распределение и вскрытие пакетов, выделение из общего документопотока ценных и конфиденциальных документов, закрытие журнала учета пакетов.
Эти процедуры требуют выполнения следующих мероприятий:
1) контроля сохранности, целостности и комплектности документов, установления возможного факта несанкционированного вскрытия пакетов на пути их следования от отправителя до адресата;
2) документирование удостоверения факта получения пакета с конфиденциальными документами от службы доставки с целью предотвращения утраты документов после вскрытия пакетов;
3) формирования исходной учетной базы для последующей регистрации документов и фиксирования их местонахождения;
4) учета документов, присланных во временное пользование;
5) исключения возможности ознакомления работников службы ДОУ с документами, составляющими особую ценность или имеющими пометку "Лично";
6) предотвращения утраты документов или их частей за счет неполного изъятия их из пакетов;
7) контроля соответствия количества поступивших документов количеству документов, переданных на регистрацию;
8) установления связи исходящего номера поступившего документа с его регистрационным входящим номером и номером в передаточной учетной норме;
9) обеспечения проверки наличия документов, зарегистрированных в форме учета пакетов.
Поступающие пакеты до их вскрытия и незаконвертованные документы регистрируются в форме учета пакетов, что документирует факт доставки пакета или документа. Сделанная запись является основанием для последующего контроля полноты состава зарегистрированных документов.
Вскрытие поступивших конвертов, предварительное рассмотрение и распределение всех поступивших конфиденциальных документов осуществляет лицо, допущенное к работе с конфиденциальной информацией.
Изъятые из пакетов и конвертов поступившие документы делятся на две группы: имеющие гриф ограничения доступа и не имеющие такого грифа. Документы, не имеющие грифа ограничения доступа, сравниваются с перечнем сведений, отнесенных к категории конфиденциальных.
При совпадении содержания или его элементов поступившего документа с одной из позиций перечня на документе ставится гриф ограничения доступа необходимого уровня конфиденциальности, указывается срок его действия и условия снятия грифа ограничения доступа.
Документы, не содержащие конфиденциальных сведений, передаются для дальнейшей обработки по алгоритмам открытой документации. Если документ поступил с грифом ограничения доступа, то этот гриф не может быть снят даже в случаях, если документ не входит в число конфиденциальных для данной организации. Гриф может быть изменен только с целью повышения уровня конфиденциальности.