На сегодняшний момент проблема построения защищенного документооборота в рамках обеспечения информационной безопасности, как в государственных, так и в негосударственных структурах стоит очень остро. Когда в современной литературе – особенно в изданиях, специализирующихся в области информационных технологий, – заходит речь о защищенном документообороте, то обычно имеются в виду вопросы защиты систем электронного документооборота и соответствующих каналов связи от преступного вмешательства при помощи технических и программных средств.

На самом деле проблема защиты информационных ресурсов организации гораздо более сложная и многоплановая, и для её успешного решения необходимо использовать не только силы и средства, имеющиеся в распоряжении службы информационных технологий, но и возможности и опыт, накопленный другими службами организации. В стандарте ISO/IEC 17799 по управлению информационной безопасностью принят именно такой подход: должны защищаться все информационные ресурсы организации, в этой работе должны участвовать как минимум все сотрудники организации, и для достижения требуемого уровня безопасности должны активно применяться кадровая политика, разнообразные организационные меры, обучение и переподготовка персонала и т.д.

Сейчас в организациях вопросами управления и защиты информации занимается целый ряд служб. Служба информационных технологий (ИТ) традиционно обеспечивает работоспособность, защищённость и резервирование электронных систем, в то время как служба документационного обеспечения (ДОУ) работает в основном с бумажными документами. Кроме того, есть ещё юридическая служба, служба внутреннего контроля, а порой и отдельная служба информационной безопасности. Различная подчинённость и статус этих служб, незнакомство с методами работы друг друга, отсутствие единой терминологии становятся серьёзной помехой в решении поставленных перед ними задач.

Все документы являются информационными материалами (информацией), но далеко не все информационные материалы имеют статус документа. Основной признак документа состоит в том что, содержание, обстоятельства создания и форма представления информационного материала фиксируются в определённый момент времени, и далее хранятся в неизменном виде. Кроме того, документ либо фиксирует какие-либо факты и события, либо служит основанием для принятия деловых решений и совершения действий. Следует отметить, что в настоящее время грань между документами и не-документами постепенно стирается, особенно в связи с ужесточением законодательных и нормативных требований к документообороту.

Информационные ресурсы организации включают в себя информацию и документы в различной форме – как бумажные, так и электронные, а также информацию и знания в головах сотрудников. Последняя составляющая очень важна, и опыт событий 11 сентября 2001 года показал, что, даже если всю информацию удалось сохранить, без ключевых сотрудников она часто оказывается для организации бесполезной.

Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение конфиденциальности, целостности и доступности информации. Надо сказать, что все эти вопросы в отношении информации на «традиционных» носителях (таких, как бумага, фото- и киноплёнка, магнитофонные звукозаписи, грампластинки, микроплёнки, микрофиши и т.п.) службы ДОУ как решали в течение тысячелетий, так и продолжают решать сейчас. Один из разделов указанного стандарта «Защита документов организации» представляет собой не что иное, как описание важнейших функций службы ДОУ, но уже в отношении документов всех видов, включая электронные. Что касается защиты электронных документов и электронного документооборота, — пока на практике за это отвечает служба ИТ.

Обеспечение сохранности важнейших документов организации — одно из современных направлений в сфере информационной безопасности. К важнейшим относят те документы и материалы – на всех видах носителей, и не обязательно подлинники, – которые потребуются немедленно, в первые минуты, часы и дни после чрезвычайного происшествия, а также те, безвозвратная утрата или повреждение которых подрывает (по юридическим, нормативным и эксплуатационным причинам) возможность организации продолжать свою деятельность. Важнейшие документы – это не обязательно ценные документы постоянного срока хранения. Так, к ним относятся списки телефонов и адресов сотрудников компании, списки поставщиков, способных в случае необходимости предоставить помещения и оборудование, необходимое для восстановления деятельности, и т.п. Интересно отметить, что, согласно стандартам, те важнейшие документы, которые могут потребоваться немедленно, должны храниться в основном в бумажном виде, с тем, чтобы люди могли с ними работать даже тогда, когда вся техника вышла из строя.

Как и многие другие задачи, проблема защиты важнейших документов решается только в том случае, когда служба ДОУ, отвечающая главным образом за организацию работы с документами на бумажных носителях, и служба ИТ, контролирующая сегодня электронные документы и материалы, объединяются в единое целое и действуют совместно.

В традиционном делопроизводстве уничтожение документов и предшествующий этап экспертизы их ценности считаются наиболее сложными видами работ, требующими как высокой профессиональной квалификации, так и умения взаимодействовать практически со всем коллективом организации. С электронными документами нужно решать все те же проблемы, что и с бумажными, плюс ещё несколько – порой очень трудно разыскать и уничтожить все имеющиеся копии электронного документа (включая те, что хранятся на резервных носителях), к тому же, как выяснилось на практике, гарантированное уничтожение электронных документов требует физического уничтожения носителей этих документов, для чего требуются специальные технические средства.

Учитывая изложенное, я считаю, что построение рационального защищенного документооборота в организации требует решения многочисленных проблем, и их, безусловно, не под силу в одиночку решить ни службе ИТ, ни службе ДОУ, ни какой-либо другой. Только координированная работа всех служб под единым руководством, при понимании и поддержке, как со стороны высшего руководства, так и персонала организации может привести к успеху. Особенно, важна интеграция ИТ и ДОУ в единую службу управления документами и информацией.

В.В. Куницын

Литература

1. Сабынин В.Н. Организация конфиденциального делопроизводства – начало обеспечения безопасности информации в фирме // Информост-радиоэлектроника и телекоммуникации. – 2001. – № 4. – С. 17.

2. Домарев В.В. Безопасность информационных технологий.