В вопросах обеспечения защиты деловых интересов предприятия, организации особое место занимает информационная безопасность, которая носит концептуальный характер и предполагает решение комплекса задач поддержания информационных ресурсов в безопасном состоянии.

Проблемы обеспечения безопасности информации становятся все более сложными в связи с переходом информационных технологий в управлении на безбумажную автоматизированную систему и электронный документооборот. При всей прогрессивности этого направления существенно расширяется и обновляется комплекс организационных, технических и технологических мер в предотвращении несанкционированного вмешательства в информационные ресурсы, ставшие в последнее время достаточно легкой добычей.

Основная задача в осуществлении защиты ценной информации состоит в предотвращении несанкционированного доступа или ознакомления с информацией постороннего лица, и в результате этого – копирования, кражи, уничтожения, фальсификации, искажения, подмены, утраты конфиденциальных документов, разглашения ценных сведений, их утечки по техническим каналам, незаконного оперирования и использования электронных документов, сведений из электронных массивов и последующего извлечения выгоды из таких действий.

Следует учитывать, что архитектура системы защиты должна охватывать не только электронные информационные системы, но и весь управленческий комплекс предприятия, организации в единстве его структурных и функциональных частей, традиционных документационных процессов. Здесь следует отметить, что отказаться от бумажных документов, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если стоит вопрос о безопасности ценной, конфиденциальной информации.

Организации конфиденциального делопроизводства в информационной безопасности уделяется, как правило, наименьшее внимание, хотя получение конфиденциальной информации через пробелы в делопроизводстве является наиболее простым и малозатратным способом.

Порядок создания конфиденциального делопроизводства (традиционного и электронного) на предприятии включает несколько этапов:

1 этап – создание обычного делопроизводства (традиционного и электронного).

2 этап – определение перечня сведений конфиденциального характера и документов, содержащих конфиденциальные сведения. Разделение сведений на несколько групп по степени конфиденциальности (например: конфиденциальные, для служебного пользования).

3 этап – утверждение перечня сведений конфиденциального характера у руководства, а также определение порядка и сроков переутверждения данного перечня, а также снижение и снятие грифа конфиденциальности.

4 этап – определение правил конфиденциального делопроизводства на основе общего делопроизводства.

5 этап – определение порядка допуска сотрудников к сведениям конфиденциального характера.

6 этап – создание необходимых нормативных документов (положений, инструкций и т.д.).

7 этап – доведение нормативных документов до сотрудников в рамках их функциональных обязанностей.

8 этап – заключение договоров о нераспространении конфиденциальных сведений между сотрудниками, которые будут допущены к работе с конфиденциальной информацией и руководством организации.

9 этап – создание системы учета, обращения и хранения информации ограниченного распространения на предприятии.

10 этап – создание механизмов контроля за соблюдением конфиденциального делопроизводства.

11 этап – создание механизма ответственности за нарушение правил конфиденциального делопроизводства.

Отмеченные этапы являются не только практически выверенными, но и имеют правовую основу создания конфиденциального делопроизводства (и традиционного, и электронного) на предприятии. Следует отметить три юридически и практически значимых мероприятия в организации данной работы: определение и утверждение Перечня сведений конфиденциального характера; разработка и утверждение Положения об организации конфиденциального делопроизводства; разработка и утверждение Инструкции по обеспечению сохранности конфиденциальной информации.

Положение об организации конфиденциального делопроизводства устанавливает правила отнесения документов, изданий и других материальных носителей информации (документов) к категории ограниченного распространения, определяет единый порядок их создания, учета и хранения, а также утверждает правила, определяющие условия обеспечения сохранности в тайне сведений ограниченного распространения.

Целью отнесения документов к категории ограниченного распространения является установление ограничения на распространение сведений, которые могут нанести ущерб правам и интересам как самого предприятия, так и других организаций, сведения которых были получены при выполнении договорных обязательств. Данная цель достигается строгим соблюдением установленных правовых, организационных, воспитательных и технических мероприятий, направленных на пресечение случаев разглашения сведений ограниченного распространения, несанкционированного ознакомления или утраты документов, содержащих такие сведения.

Инструкция по организации конфиденциального делопроизводства определяет:

• порядок выноса – вноса конфиденциальных документов применительно к охраняемой территории;
• порядок работы с конфиденциальными документами вне служебных помещений;
• порядок изготовления и использования бланков организации, печатей и штампов;
• порядок использования бланков строгой отчетности (бланков организации, подготавливаемых за подписью первых лиц организации);
• порядок передачи конфиденциальных документов в случае ухода в отпуск, командировки или увольнения с работы;
• порядок подготовки конфиденциальных документов, его согласование, в том числе с юристами, финансистами, корректорами, а также порядок подписи конфиденциальных документов;
• порядок пересылки конфиденциальных документов вне контролируемых помещений.

С целью конкретизации и упорядочения работы по отнесению документов к категории ограниченного распространения разрабатывается Перечень сведений конфиденциального характера. Перечень разрабатывается в соответствии с Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера», ст. 10 Федерального Закона «Об информации, информатизации и защите информации», Федеральным Законом «О коммерческой тайне» и другими законодательными и нормативными документами.

Категории сведений, включенные в Перечень, относятся к сведениям ограниченного распространения, и по порядку учета и оформления могут быть разделены на следующие группы: «сведения для служебного пользования», «коммерческая тайна», «конфиденциальные». Документы, содержащие конфиденциальные сведения, имеют аналогичную ограничительную пометку (гриф ограничения доступа). Для определения состава документов, которые содержат конфиденциальные сведения, формируется список таких документов.

Помимо рассмотренных аспектов следует еще раз отметить, что на современном этапе организация корпоративного конфиденциального делопроизводства должна включать взаимосвязанные системы традиционного и электронного делопроизводства. В целях преодоления проблем, связанных с достижением оптимального и органичного сочетания этих двух систем, система электронного конфиденциального документооборота должна предусматривать возможность выполнения следующих операций:

• создание электронных документов с помощью текстовых редакторов, включая создание электронных документов по типовым формам;
• создание составных электронных документов, состоящих из нескольких разных по формату файлов;
• создание электронных документов с помощью сканирования документа на бумажном носителе;
• создание электронных документов с помощью иных электронных данных, полученных с помощью электронной почты; корпоративной компьютерной сети; устройств ввода компьютерной информации (дисководы и т.д.);
• работа с электронными документами различных форматов (текстовых, графических и т.д.);
• создание регистрационной карточки электронного документа, связь регистрационной карточки с электронным документом и присвоение необходимых реквизитов, среди которых: дата создания, получения, исполнения; регистрационный номер; фамилия, имя, отчество исполнителя, адресата; права доступа; степень конфиденциальности; количество листов и т.д.;
• разделение документов по степени конфиденциальности, присвоение каждому документу грифа конфиденциальности и разграничение права пользователей работы с конфиденциальными документами по мандатному принципу;
• получение и отправление электронных документов (документооборот) по корпоративной компьютерной сети, а также по электронной почте;
• работа с взаимосвязанными документами, поддержание возможности установления ссылок между учетными карточками или документами, связанными тематически, отменяющими или дополняющими друг друга (например, с помощью гиперссылок с возможностью просмотра цепочки взаимосвязанных документов);
• контроль передвижения электронных документов по сети и контроль ознакомления с электронными документами, а также контроль за копированием, редактированием и размножением электронных документов;
• осуществление контрольных функций (контроль исполнения резолюций, поручений, сроков исполнения и т.д.), а также возможность сигнального режима как составной части контроля;
• поиск электронных документов по реквизитам; ключевым словам; содержанию; дате создания; контрольным срокам; исполнителю и т.д.;
• анализ электронных документов по тематике; проблематике; исполнителям; резолюциям; дате создания и т.д.;
• дублирование (архивирования) электронных документов с заданной периодичностью, а также ведение систематизированных электронных архивов документов, их образов, учетных карточек с возможностью поиска и анализа;
• разделение конфиденциального и открытого электронного делопроизводства.

Е.Ю. Крячко