Защита и обработка конфиденциальных документов

Для электронных  документов угроза утраты конфиденциальной информации особенно опасна, так как  факт кражи информации практически  трудно обнаружить. Утрата конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, по мнению ряда специалистов, может быть вызвана следующими факторами:

• непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, работников службы конфиденциальной документации (далее – службы КД), системных администраторов и других лиц, обслуживающих информационные системы (самая частая и большая опасность);
• кражи и подлоги информации;
• угрозы, исходящие от стихийных ситуаций внешней среды;
• угрозы заражения вирусами.

В соответствии с указанными угрозами формируются  задачи защиты информации в документопотоках, направленные на предотвращение или  ослабление этих угроз.

Главным направлением защиты документированной  информации от возможных опасностей является формирование защищенного  документооборота, то есть использование  в обработке и хранении документов специализированной технологической  системы, обеспечивающей безопасность информации на любом типе носителя.

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения  безопасности как носителя информации, так и самой информации.

Помимо  общих для документооборота принципов  защищенный документооборот основывается на ряде дополнительных принципов:

• ограничение доступа персонала к документам, делам и базам данных деловой, служебной или производственной необходимостью;
• персональная ответственность должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и документам;
• персональная ответственность каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;
• жесткая регламентация порядка работы с документами, делами и базами данных для всех категорий персонала, в том числе первых руководителей.

Несколько иное содержание приобретает в защищенном документообороте принцип избирательности  в доставке и использовании конфиденциальной информации. Его основу составляет действующая в фирме разрешительная (разграничительная) система доступа  персонала к конфиденциальной информации, документам и базам данных. Целью  избирательности является не только оперативность доставки документированной  информации потребителю, но и доставка ему только той информации, работа с которой ему разрешена в  соответствии с его функциональными  обязанностями. Избирательность распространяется не только на поступившие документы, но и на документы, которые составляются персоналом на рабочих местах или  с которыми сотрудники только знакомятся. 
Защищенность документопотоков достигается за счет:

• одновременного использования режимных (разрешительных, ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;
• нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной информации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;
• формирования самостоятельных, изолированных потоков конфиденциальных документов и (часто) дополнительного их разделения на подпотоки в соответствии с уровнем конфиденциальности перемещаемых документов;
• использования автономной технологической системы обработки и хранения конфиденциальных документов, не соприкасающейся с системой обработки открытых документов.

Под исполнением конфиденциального документа понимается процесс документирования управленческих решений и действий, результатов выполнения руководителями и сотрудниками фирмы поставленных задач и отдельных заданий, поручений, а также реализации функций, закрепленных за ними в должностных инструкциях. Факторами, инициирующими процесс исполнения, являются:

• получение руководителем, сотрудником (исполнителем) поступившего документа;
• письменное или устное указание вышестоящего руководителя;
• устный запрос на информацию или принятие решения от других фирм, учреждений и отдельных лиц;
• задания и поручения, включенные в рабочие планы, графики работы, должностные инструкции и другие организационные и плановые документы;
• полезная информация, полученная из реферативных и информационных сборников, рекламных изданий.

В отличие  от исполнения процесс использования документа предполагает включение его в информационно-документационную систему, обеспечивающую исполнение других документов, выполнение управленческих действий и решений. Для использования в работе обычно поступают законодательные акты, организационно-правовые, нормативные, распорядительные, справочно-информационные документы, разнообразные рекламные издания и научно-техническая информация. Процесс ознакомления с конфиденциальным документом – это информирование сотрудника фирмы или иного заинтересованного лица, осуществляемое в соответствии с резолюцией полномочного руководителя на конфиденциальном документе, о принятом этим руководителем решении или решении другой организационной структуры.

В ходе исполнения конфиденциальных документов могут возникнуть следующие основные угрозы:

• утрата (разглашение, утечка) ценной информации за счет ее документирования на случайном носителе, не входящем в сферу контроля службы конфиденциальных документов (КД);
• подготовка к изданию документа, не обоснованного деловой необходимостью или не разрешенного для издания, то есть документирования определенной информации;
• включение в документ избыточных конфиденциальных сведений, что равносильно разглашению тайны фирмы;
• случайное или умышленное занижение грифа конфиденциальности сведений, включенных в документ;
• изготовление документа в условиях, которые не гарантируют сохранности носителя, конфиденциальности информации;
• утеря оригинала, черновика, варианта или редакции документа, его части, приложения к документу, умолчание этого факта и попытка подмены утраченных материалов;
• сообщение содержания проекта конфиденциального или открытого документа постороннему лицу, несанкционированное копирование документа или его части (в том числе на неучтенной дискете);
• утечка информации по техническим каналам;
• ошибочные действия работника службы КД, особенно в части нарушения разрешительной системы доступа к документам.

Важно, что в отличие от исполнения открытых документов исполнение конфиденциальных документов представляет собой стадию, насыщенную различными технологическими этапами и процедурами, основными  из которых являются:

• установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ;
• оформление и учет носителя для документирования выделенного комплекса конфиденциальной информации;
• составление и изготовление конфиденциального документа;
• издание конфиденциального документа.

Указанные этапы характеризуются не только регламентированной технологией, но и  жесткими правилами работы исполнителей с конфиденциальной информацией.

Общеизвестно, что в наибольшей безопасности находится  конфиденциальная информация, не зафиксированная  на каком-либо носителе; ценная информация немедленно подвергается угрозе при  возникновении необходимости ее документирования.

В связи  с этим система защиты конфиденциальной информации должна начинать функционировать  не после издания (подписания) конфиденциального  документа, а заблаговременно, то есть до создания будущего документа. Прежде чем создать документ, следует  установить, является ли данная информация конфиденциальной и какой уровень  грифа конфиденциальности ей должен быть присвоен в случае положительного ответа.

Своевременное установление грифа конфиденциальности сведений, подлежащих включению в будущий документ, – первый и основной элемент защиты документированной информации, позволяющий обеспечить относительно надежную безопасность тайны фирмы.

Основу  присвоения документу грифа конфиденциальности должны составлять: перечень конфиденциальных сведений фирмы, требования партнеров, а также перечень конфиденциальных документов фирмы. Система грифования документов не гарантирует сохранности  информации, однако позволяет четко  организовать работу с документами, в частности сформировать систему  доступа к документам персонала.

Гриф  конфиденциальности, или гриф ограничения доступа к традиционному, машиночитаемому или электронному документу, представляет собой реквизит (элемент, служебную отметку, помету) формуляра документа, свидетельствующий о конфиденциальности содержащихся в документе сведений и проставляемый на самом документе и (или) сопроводительном письме к нему.

Информация  и документы, отнесенные к коммерческой (предпринимательской) тайне, имеют  несколько уровней грифа ограничения  доступа, соответствующих различным  степеням конфиденциальности информации:

• первый, массовый уровень – грифы «Конфиденциально», «Конфиденциальная информация»;
• второй уровень (достаточно редкий) – грифы «Строго конфиденциально», «Строго конфиденциальная информация», «Особый контроль» – они присваиваются документу лично первым руководителем фирмы, им изменяются или отменяются. Использование и хранение этих документов также организуется первым руководителем с возможным привлечением руководителя службы КД;
• на документах, содержащих сведения, отнесенные к служебной тайне, ставится гриф «Для служебного пользования» («ДСП»).

Гриф  ограничения доступа на документе  пишется полностью, то есть не сокращается. Под обозначением грифа указываются  номер экземпляра документа, срок действия грифа и иные условия его снятия. Обычно гриф располагается на первом и титульном листах документа, а  также на обложке дела (тома) в  правом верхнем углу. На электронных  документах и документах, записанных на любых машинных носителях, гриф обозначается на всех листах. Ниже грифа или ниже адресата могут обозначаться ограничительные  пометы: «Лично», «Только в руки», «Только адресату», «Лично в руки»  и др. При регистрации конфиденциального  документа к его номеру добавляется  сокращенное обозначение грифа  конфиденциальности.

Документы и информация, конфиденциальные в  целом, в своей массе (например, документация службы персонала, службы безопасности, документы, отнесенные к профессиональной тайне, и т. д.), как правило, не маркируются, потому что в полном объеме обладают строгим ограничением доступа к  ним персонала.

На ценных, но не конфиденциальных документах может  проставляться помета (отметка, надпись, штамп), предполагающая особое внимание к сохранности таких документов: «Собственная информация фирмы», «Информация  особого внимания», «Копии не снимать», «Хранить в сейфе» и др. Могут  использоваться дополнительные цветовые идентификаторы ценных и конфиденциальных документов и дел для их быстрого визуального выделения и контроля использования в процессе работы персонала.

Информация  – это один из ресурсов предприятия, без которого четкой и слаженной  работы не получится. А конфиденциальная информация дает фирме возможность, изобретая что-то новое, достигать  вершин, не покоренных никем в области  деятельности этого предприятия  благодаря защищенности информации. Исходя из важности этой информации появляется риск для фирмы создателя лишится  столь ценного ресурса. Во избежание  неприятностей, связанных с утратой  или хищением информации в организациях, создаются службы КД.