Предписание 14 page

• переписывать сведения из документов в личные дневники, карточки учета работы, календари, еже­недельники и т.п., переносить их в справочные и личные учетно-плановые массивы ЭВМ;

• вносить и пользоваться в помещениях фирмы личными фото-, видеоаппаратами, компьютерами, аудиотехникой, магнитофонами, плеерами, переговорными устройствами, техническими носителя­ми информации (дискетами и др.), радиотелефонами, копировальными аппаратами;

• выносить из здания фирмы любые (в том числе открытые) служебные документы без письменного разрешения первого руководителя;

• оставлять документы на рабочем столе или работающий компьютер при любом по длительности выходе из помещения;

• хранить конфиденциальные документы вместе с открытыми документами и материалами, форми­ровать в одном деле или машинном массиве конфиденциальные и открытые сведения;

• разглашать сведения о характере автоматизированной обработки конфиденциальной информации и о личных идентифицирующих кодах и паролях; разглашать сведения о составе находящихся у со­трудника документов и материалов, системе их защиты и месте хранения, а также известных ему элементах обеспечения безопасности фирмы и персонала.

10. Уборка помещений, в которых хранятся конфиденциальные документы и дела, производится в присутствии сотрудников, ответственных за сохранность документов. Документы должны находиться в сейфах, чтобы исключить их визуальный просмотр.

11. При выходе из рабочего помещения на любой по продолжительности период времени сотрудник обязан убрать в сейф (шкаф) все документы и заблокировать компьютер. При выходе из помещения всех сотрудников оно должно быть закрыто на ключ.

12. В течение рабочего дня допускается передача конфиденциальных документов между сотрудника­ми, минуя службу конфиденциальной документации, если сотрудники имеют право доступа к этим доку­ментам. Документы, в том числе и руководителям, могут передаваться только под расписку. При возврате документов в присутствии сдающего документы лица расписка уничтожается. Передача документов мо­жет осуществляться под роспись во внутренней описи документов, находящихся у исполнителя.

13. Для перевозки конфиденциальных документов сотрудникам запрещается пользоваться личным и общественным транспортом.

14. При работе с конфиденциальными документами сотрудникам запрещается делать с них копии без письменного разрешения первого руководителя фирмы,

15. При возникновении экстремальных ситуаций в помещениях фирмы сотрудники обязаны строго выполнять известные им правила, инструкции и руководствоваться указаниями руководителей фирмы и работников службы безопасности. При этом сотрудники фирмы обязаны принять все необходимые меры по обеспечению сохранности или эвакуации ценных и конфиденциальных документов.

16. При пожаре, авариях, случившихся в нерабочее время, работники охраны немедленно вызывают пожарную команду или соответствующую аварийную службу, ставят в известность руководство фирмы, руководителей структурных подразделений и принимают меры по ликвидации пожара или аварии и их последствий, В случае, если создается угроза уничтожения документов, содержащих секреты фирмы, персонал охраны обязан вскрыть эти помещения и принять меры к спасению документов и обеспечению их сохранности и конфиденциальности. О произведенном вскрытии составляется акт, который подписы­вается лицами, вскрывшими данное помещение.

8.6. Потоки конфиденциальных документов

Конфиденциальные, как и открытые, документы находятся в постоянном движении. Пере­мещение конфиденциальных документов по множеству иерархических уровней управления

создает серьезные предпосылки для утраты ценной информации, требует осуществления защитных мер в отношении документопотоков и документооборота в целом.

Документооборот как объект защиты представляет собой упорядоченную совокуп­ность (сеть) каналов объективного, санкционированного распространения конфиденциаль­ной документированной информации в процессе управленческой и производственной дея­тельности пользователей (потребителей) этой информации.

При движении конфиденциальных документов по инстанциям увеличивается число ис­точников (сотрудников, баз данных, рабочих материалов и т.п.), получивших доступ к цен­ным сведениям, и расширяются потенциальные возможности для утраты конфиденциаль­ной информации, ее разглашения персоналом, утечки по техническим каналам, исчезнове­ния носителя этой информации. Риск утраты конфиденциальной документированной ин­формации наблюдается на всех стадиях и этапах движения документов, при выполнении любых процедур и операций.

Как отмечалось выше, главной опасностью (угрозой) конфиденциальным документам в документопотоках является несанкционированный доступ постороннего лица к докумен­там, делам и базам данных из-за его любопытства или обманных, провоцирующих дейст­вий, а также случайных или умышленных ошибок персонала фирмы. Другими опасностя­ми, связанными, как правило, с главной угрозой и наиболее часто встречающимися, могут быть:

• утрата документа или его отдельных частей (листов, приложений, схем, копий, экзем­пляров, фотографий и др.), носителя чернового варианта документа или рабочих запи­сей в случае кражи, утери, уничтожения;

• утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использова­ния остаточной информации на копировальной ленте, бумаге, дисках и дискетах, оши­бочных действий персонала;

• подмена документов, носителей и их отдельных частей с целью фальсификации, а так­же сокрытия факта утери, хищения;

• случайное или умышленное уничтожение ценных документов и баз данных, несанк­ционированная модификация и искажение текста, реквизитов, фальсификация доку­ментов;

• утрата (гибель) документов в условиях реальных или инсценированных экстремаль­ных ситуаций.

В отношении конфиденциальной информации, обрабатываемой и хранящейся в компью­терах, условия возникновения угроз, по мнению ряда специалистов, классифицируются по степени риска следующим образом:

• непреднамеренные ошибки пользователей, операторов, референтов, управляющих де­лами, работников службы конфиденциальной документации, системных администра­торов и других лиц, обслуживающих информационные системы;

• кражи и подлоги информации;

• стихийные бедствия;

• заражение вирусами.

В соответствии с характером угроз формируются задачи обеспечения защиты информа­ции в документопотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной информации от возможных опасно­стей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

1отоки конфиденциальных документов

^год защищенным документооборотом {документопотоколС) понимается контроли-ое движение конфиденциальной документированной информации по регламентирован-пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в ких условиях организационного и технологического обеспечения безопасности как но-1я информации, так и самой информации.

омимо общих для документооборота принципов защищенный документооборот осно-ется на ряде дополнительных принципов:

ограничении доступа персонала к документам, делам и базам данных деловой, слу­жебной или производственной необходимостью;

персональной ответственности должностных лиц за выдачу разрешения на доступ со­трудников к конфиденциальным сведениям и документам;

персональной ответственности каждого сотрудника за сохранность доверенного ему носителя и конфиденциальности информации;

жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала, в том числе первых руководителей.

есколько иное содержание приобретает в защищенном документообороте принцип из-гельности в доставке и использовании конфиденциальной информации. В его основе т действующая на фирме разрешительная (разграничительная) система доступа персо-к конфиденциальной информации, документам и базам данных. Целью избирательно-вляется не только оперативность в адресной доставке документированной информации збителю, но и доставка ему только той информации, работа с которой разрешена ему в *етствии с функциональными обязанностями. Избирательность распространяется не со на поступившие документы, но и на документы, которые составляются персоналом бочих местах или с которыми сотрудники только знакомятся. гщищенность документопотоков достигается за счет:

одновременного использования режимных (разрешительных, ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциаль­ных документов;

нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной ин­формации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;

формирования самостоятельных, изолированных потоков конфиденциальных доку­ментов и часто дополнительного их разбиения на подпотоки в соответствии с уровнем конфиденциальности перемещаемых документов;

использования автономной технологической системы обработки и хранения конфиденци-
альных документов, не соприкасающейся с системой обработки открытых документов;
регламентации движения документов как внутри фирмы, так и между фирмами, т.е.
с момента возникновения мысли о необходимости создания документа и до окончания
работы с документом и передачи его в архив; ij

организации самостоятельного подразделения конфиденциальной документации I

(службы КД) или аналогичного подразделения, входящего (или не входящего) в состав службы безопасности или аналитической службы;

перемещения документов между руководителями, исполнителями и иным.персоналом только через службу КД.

юбому движению (перемещению, передаче) документа долясны обязательно предшест-ъ операции по проверке комплектности, целостности и учету нового местонахождения лента. Вместе с тем дополнительные операции (защитные меры) не должны повышать >емкость работы с документами и увеличивать сроки их движения и исполнения.

Совокупность технологических стадий обработки (функциональных элементов) потоков конфиденциальных документов и потоков открытых документов несколько отличается. Так, входной документопоток включает в себя следующие стадии обработки конфиденциаль­ных документов:

• прием, учет и первичная обработка поступивших пакетов, конвертов, незаконверто-ванных документов;

• выявление в потоке открытых документов тех, которые содержат конфиденциальные для фирмы сведения;

• учет поступивших документов и формирование справочно-информационного банка данных по документам;

• предварительное рассмотрение и распределение поступивших документов;

• рассмотрение документов руководителями и передача документов на исполнение и технологические участки службы КД;

• ознакомление с документами исполнителей, использование или исполнение докумен­тов.

Выходной и внутренний документопотоки включают в себя следующие стадии обра­ботки конфиденциальных документов:

• исполнение документов (этапы: получение разрешения на издание документа, опреде­ление уровня грифа конфиденциальности предполагаемого документа, учет носителя будущего документа, составление текста, учет подготовленного документа, его изго­товление и издание);

• контроль исполнения документов;

• обработка изданных документов (экспедиционная обработка документов и отправка их адресатам; передача изданных внутренних документов на исполнение);

• систематизация исполненных документов в соответствии с номенклатурой дел, оформление, формирован/Ю и закрытие дел;

• подготовка и передача дел в ведомственный архив (архив фирмы).

В состав всех документопотоков включается также ряд дополнительных стадий обра­ботки конфиденциальных документов:

• инвентарный учет документов, дел и носителей информации, не включаемых в но­менклатуру дел;

• проверка наличия документов, дел и носителей информации;

• копирование и тиражирование документов;

• уничтожение документов, дел и носителей информации.

Стадии, составляющие тот или иной документопоток, практически реализуются специа­лизированной технологической системой обработки и хранения конфиденциальных доку­ментов.

Защищенный документооборот представляет собой один из важнейших технологиче­ских элементов системы защиты документированной информации от несанкционированно­го доступа постороннего лица и иных объективных и субъективных опасностей, которые со­провождают работу персонала с конфиденциальными документами фирмы.

8.7. Технологическая система обработки конфиденциальных документов

Под технологической системой обработки и хранения конфиденциальных документов по­нимается упорядоченный комплекс организационных и технологических процедур и опера­ций, обеспечивающих служб и технических средств, предназначенных для практической

реализации задач, стоящих перед функциональными элементами (стадиями) документопо-тока.

Технология обработки и хранения конфиденциальных и открытых документов базирует­ся на единой научной и методической основе, призванной решать задачи обеспечения доку­ментированной информацией управленческие и производственные процессы. Одновремен­но технологическая система обработки и хранения конфиденциальных документов решает и другую не менее важную задачу - обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности.

В отличие от открытых документов к обработке конфиденциальных документов предъ­являются следующие серьезные требования, которые в определенной степени гарантируют решение указанных задач:

• централизация всех стадий, этапов, процедур и операций по обработке и хранению конфиденциальных документов;

• учет всех без исключения конфиденциальных документов;

• операционный учет технологических действий, производимых с традиционным (бу­мажным) или электронным носителем (в том числе чистым) и документом, учет каж­дого факта «жизненного цикла» документа;

• обязательный контроль вторым работником службы КД правильности выполнения учетных операций;

• учет и обеспечение сохранности не только документов, но и учетных форм;

• ознакомление или работа с документом только на основании письменной санкции (разрешения) полномочного руководителя, письменного фиксирования всех обраще­ний персонала к документу;

• обязательная роспись руководителей, исполнителей и технического персонала при вы­полнении любых действий с документом в целях обеспечения персональной ответст­венности сотрудников фирмы за сохранность носителя и конфиденциальность инфор­мации;

• строгий контроль выполнения персоналом введенных в фирме правил работы с кон­фиденциальными документами, делами и базами данных, обязательный для всех кате­горий персонала;

• систематические (периодические и разовые) проверки наличия документов у исполни­телей, в делах, базах данных, на машинных носителях и т.д., ежедневный контроль со­хранности, комплектности, целостности и местонахождения каждого конфиденциаль­ного документа;

• коллегиальность процедуры уничтожения документов, дел и баз данных;

• письменное санкционирование полномочным руководителем процедур копирования и размножения бумажных и электронных конфиденциальных документов, контроль тех­нологии выполнения этих процедур.

Технологическая система обработки и хранения конфиденциальных документов распро­страняется не только на управленческую (деловую) документацию, но и на конструктор­ские, технологические, научно-технические и другие аналогичные документы, публикации, нормативные материалы и др., хранящиеся в специальных библиотеках, информационных центрах, ведомственных архивах, документированную информацию, записанную, на любом типе носителя информации.

Эволюция типов технологических систем обработки и хранения документов находится в тесной связи с научно-техническим прогрессом, достижениями науки и техники в области документирования информации, обработки информационных ресурсов, программирования и вычислительной техники. Наблюдается устойчивая тенденция замены бумажного носителя информации техническим - магнитным и других типов. Технический носитель дает воз­можность в определенной степени исключить человека из технологического процесса обра­ботки и хранения документированной информации и создает основу для формирования и развития концепции «электронного (безбумажного) документооборота».

Технологические системы обработки и хранения конфиденциальных документов могут быть традиционными, автоматизированными и смешанными.

Традиционная (делопроизводственная) система основывается на ручных методах ра­боты человека с документами и является наиболее универсальной. Она надежно, долговре­менно обеспечивает защиту документированной информации как в обычных, так и экстре­мальных ситуациях. В связи с этим стадии защищенного документооборота в большинстве случаев технологически реализуются методами и средствами именно традиционной систе­мы обработки и хранения конфиденциальных документов, а не автоматизированной.

Система одинаково эффективно оперирует как традиционными (бумажными), так и до­кументами машиночитаемыми, факсимильными и электронными. Трудоемкость множества технических и формально-логических процедур и операций обычно снижается за счет включения в технологический процесс организационной и вычислительной техники, что в целом не меняет тип системы. Вместе с тем система характеризуется низкой степенью опе­ративности доставки документов потребителям информации, невысокой эффективностью справочной, поисковой и контрольной работы по документам, потребностью в значитель­ном количестве персонала, обслуживающего систему.

Традиционная технологическая система обработки и хранения конфиденциальных доку­ментов лежит в основе широко известного понятия «делопроизводство» или «документацион-ное обеспечение управления» (в его узком, но часто встречающимся в научной литературе по­нимании как синонима делопроизводства). С другой стороны, делопроизводство часто рас­сматривается в качестве организационно-правового и технологического инструмента построе­ния документационного обеспечения управления, с чем, на наш взгляд, трудно не согласиться.

Обработка и хранение конфиденциальных документов централизуется в едином подраз­делении аппарата управления - службе конфиденциальной документации, функционально не связанной с подразделением, обрабатывающим открытые документы. В некрупных пред­принимательских структурах функция централизованной обработки и хранения конфиден­циальных документов возлагается на управляющего делами, менеджера по безопасности или даже секретаря-референта (референта) первого руководителя.

Служба КД может включать в себя следующие функциональные группы (участки дея­тельности):

• группу учета поступивших документов;

• группу учета носителей конфиденциальной информации';

• группу учета и обработки изданных документов;

• группу учета номенклатурных дел - архив фирмы;

• группу инвентарного учета документов;

• бюро изготовления документов;

• копировально-множительное бюро;

• контрольно-методическую группу.

Службу КД необходимо располагать в помещении, смежном с приемной первого руково­дителя фирмы. В этом помещении ведется обработка и хранение всех конфиденциальных документов. Правом входа в рабочее помещение службы обладает только первый руководи­тель фирмы и руководитель службы безопасности.

Конфиденциальные документы достаточно часто не входят в сферу управленческой (де­ловой) документации и относятся к технической документации (конструкторской, техноло­гической, научно-исследовательской и т.д.), которая по своей сути чаще всего содержит дей­ствительно ценные сведения, изобретения и ноу-хау фирмы. Несмотря на специфический характер этой документации, она также обрабатывается и хранится в службе КД - группе технической документации.

В предпринимательских структурах, имеющих незначительный объем конфиденциаль­ных документов или основная масса документов которых является конфиденциальной (на­пример, в банках, страховых компаниях), обработка конфиденциальных документов может осуществляться в подразделении или сотрудником, ведущим делопроизводство по откры­тым документам. Не следует забывать о том, что преимущества и эффективность традици­онных (часто простейших) делопроизводственных систем в небольших фирмах далеко не исчерпаны и их надежность в гарантированной защите конфиденциальной информации достаточно велика. Однако эти системы должны основываться на профессионально постро­енной технологии и обслуживаться квалифицированными специалистами.

Автоматизированная система (как и традиционная, делопроизводственная) обслужи­вает конкретные потребности персонала в конфиденциальной информации. Автоматизиро­ванная система, создаваемая в службе КД или службе безопасности, должна обеспечивать:

• сокращение значительного объема рутинной работы с документами и числа техниче­ских операций, выполняемых персоналом службы ручными методами;

• реализацию возможности для персонала фирмы работать с электронными документа­ми в режиме безбумажного документооборота;

• достаточную гарантию сохранности и целостности информации, регулярный кон­троль за работой с документами и защиту от попыток несанкционированного входа в банк данных;

• аналитическую работу по определению степени защищенности информации и поиску возможных каналов ее утраты;

• единство технологического процесса с режимными требованиями к защите информа­ции (допуск, доступ, регламентация коллегиальности выполнения некоторых проце­дур, операций и т.п.);

• персональную ответственность за сохранность конфиденциальных сведений в машин­ных массивах и на магнитных носителях вне ЭВМ;

• возможность постоянного учета местонахождения традиционного или электронного документа и проверки его наличия и целостности в любое время;

• предотвращение перехвата информации из ЭВМ по техническим каналам, наличие на­дежной охраны помещений, в которых находится вычислительная техника, охрану компьютеров и линий компьютерной связи;

• исключение технологической связи единичного компьютера или локальной сети, предназначенных для обработки конфиденциальных документов, с сетями, обеспечи­вающими работу с открытой информацией, исключение использования их линий свя­зи, выходящих за пределы охраняемой зоны (здания, территории).

В соответствии с этим автоматизированная технологическая система обработки и хране­ния конфиденциальных документов по сравнению с аналогичными системами, оперирую­щими общедоступной информацией, имеет ряд серьезных принципиальных особенностей:

• архитектурно компьютеры, обрабатывающие значительные объемы конфиденциаль­ной информации, могут объединяться в локальную сеть как в рамках службы КД, так и с охватом руководителей и основных специалистов; однако в любом варианте ло­кальная сеть базируется на главном компьютере (сервере), находящемся у системного администратора службы КД; автоматизированные рабочие места, рабочие станции мо­гут быть увязаны в локальную сеть только по вертикали;

• в некрупных фирмах конфиденциальная информация обрабатывается на уровне пер­вого руководителя и его референта на единичном защищенном компьютере, не име­ющем выхода в какую-либо локальную сеть;

• обязательное наличие иерархической и утвержденной первым руководителем фирмы системы разграничения доступа к информации, хранящейся как в машинных масси­вах, так и на магнитных носителях вне ЭВМ; охват системой разграничения доступа не только персонала фирмы, но и персонала службы КД;

• закрепление за каждым пользователем строго определенного состава массивов элек­тронной информации и магнитных носителей; исключение возможности для пользо­вателя «покопаться» в базе данных системы;

• автоматизированное выполнение пользователями операций справочного и поискового обслуживания, составления и иногда изготовления документов, контроля исполнения документов, работы с электронными документами, факсами и электронными аналога­ми бумажных документов;

• сохранение информационной базы учетной функции (в правовом понимании, а также как элемента формирования страхового массива информации) и функции персональ­ной ответственности за традиционной технологической системой с использованием учетных карточек и иных форм (описей), изготовляемых не вручную, а автоматиче­ски - на принтере ЭВМ; автоматическая допечатка в указанные формы изменений и дополнений при движении документов;

• обязательный учет конфиденциальных электронных документов, находящихся на всех магнитных носителях и в машинных массивах, постоянная проверка службой КД ре­ального наличия этих документов на носителях и в массивах, их целостности, ком­плектности и отсутствия несанкционированных копий;

• необходимость исключения технической возможности копирования информации, со­держащейся в компьютере (рабочей станции) пользователя, на другие магнитные но­сители и работы компьютера в комплекте с принтером (изъятие из ЭВМ дисководов и т.п.);

• жесткое соблюдение персоналом правил работы с конфиденциальной электронной ин­формацией, в частности правила, что все операции с информацией в компьютере должны быть письменно санкционированы полномочным должностным лицом, под­отчетны службе КД и протоколироваться в машинном журнале; протоколы подлежат регулярному контролю и анализу специалистами службы КД или службы безопасно­сти;

• изъятие конфиденциальной информации из базы данных компьютера (рабочей стан­ции) по окончании работы с ней (например, в конце рабочего дня, при длительных пе­рерывах в работе и т.п.) и перенос информации на дискеты, подлежащие сдаче в служ­бу КД.

Рассмотрение и исполнение электронных конфиденциальных документов и электронных аналогов бумажных документов разрешается только при наличии сертифицированной сис­темы защиты компьютеров и локальной сети, включающей комплекс программно-аппарат­ных, криптографических и технических мер защиты базы данных, ко*мпьютеров и линий связи. Помещения, в которых конфиденциальная информация обрабатывается на ЭВМ, должны иметь защиту от технических средств промышленного шпионажа, надежную круг­лосуточную охрану и пропускной режим. Кроме того, следует учитывать, что при автомати­зированной обработке объективно резко увеличивается количество носителей (источников), содержащих конфиденциальные сведения: традиционный бумажный документ, разнообраз­ные машинограммы карточек, описей документов, многочисленные записи информации на магнитных носителях и визуальная информация на экране дисплея. Недостатком обработки информации на ЭВМ является также необходимость постоянного дублирования информа­ции на нескольких носителях с целью исключения опасности ее утраты или искажения по техническим причинам.

Указанные выше особенности усложняют систему, но без их соблюдения нельзя гарантиро­вать сохранность конфиденциальной информации, эффективность защиты информационных массивов в ЭВМ от несанкционированного доступа, разрушения, копирования и подмены.

Безопасность информации в ЭВМ и локальной сети требует эффективной внемашинной защиты конфиденциальных сведений. В связи с этим важное значение имеет защита техни­ческих носителей конфиденциальной информации (машиночитаемых документов) на вне-машинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно вели­ка вероятность утраты машиночитаемого документа. В основе обеспечения сохранности но­сителей электронных конфиденциальных документов, находящихся вне машины, в настоя­щее время эффективно используются хорошо зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе.

В настоящее время наиболее широко используется смешанная технологическая систе­ма обработки и хранения конфиденциальных документов, совмещающая традиционную и автоматизированную технологии. Выборочно автоматизируются: справочная и поисковая работа по бумажным документам, процедура составления и изготовления документов и учетных форм, контроль исполнения, сервисные задачи. Остальные стадии и процедуры вы­полняются в русле традиционной, делопроизводственной технологии (распределение бу­мажных документов, их рассмотрение, исполнение, оперативное и архивное хранение доку­ментов). В силу специфики обрабатываемых сведений о документах и самих документов ав­томатизированные системы делопроизводственной ориентации имеют в большинстве слу­чаев информационно-справочный характер.

Недостаток смешанной технологии состоит в неполном использовании преимуществ и функциональных возможностей компьютерной технологии, что порождает сохранение ру­тинных делопроизводственных операций и не совершенствует документооборот.

Следовательно, технологические системы обработки и хранения конфиденциальных до­кументов характеризуются рядом объективных особенностей, отражающих необходимые, достаточно жесткие методы работы с конфиденциальными документами и связанные с эти­ми методами организационные и технологические способы защиты этих документов, что в совокупности позволяет решить задачи обеспечения безопасности как носителя информа­ции, так и самой информации (приложение 8.5).

8.8. Технологическая схема обработки документов входного потока