Читайте также:
|
|
В ходе исполнения конфиденциальные документы подвергаются максимально возможному числу угроз, которые реализуются за счет:
1. документирования конфиденциальной информации на случайном носителе, не входящем в сферу контроля службы КД;
2. подготовки к изданию документа, не обоснованного деловой необходимостью или не разрешенного для издания;
3. включения в документ избыточных конфиденциальных сведений, что равносильно разглашению секретов учреждения, фирмы;
4. случайного или умышленного занижения грифа конфиденциальности сведений, включенных в документ;
5. изготовления документа в условиях, которые не гарантируют сохранность носителя, конфиденциальность информации;
6. утери оригинала, черновика, варианта или редакции документа, его части, приложения к документу, умолчания этого факта и попытки подмены утраченных материалов;
7. сообщения содержания проекта конфиденциального и даже открытого документа постороннему лицу, несанкционированного копирования документа или его части (в т.ч. на неучтенной дискете);
8. утечки информации по техническим каналам;
9. ошибочных действий работника службы КД, особенно в части нарушения разрешительной системы доступа к документам.
Передача конфиденциальной информации при деловой необходимости партнерам, посредникам, работникам государственных учреждений допускается только в случаях, установленных законодательством или соответствующим пунктом в контракте, и только по их письменному запросу с указанием конкретного состава и назначения требуемых сведений. Информация также всегда передается им в письменном виде за подписью первого руководителя учреждения, фирмы, об этом информируется руководитель службы безопасности. Передача конфиденциальных сведений в устной форме не разрешается.
Важно, что в отличие от открытых документов исполнение конфиденциальных документов представляет собой стадию, насыщенную различными технологическими этапами и процедурами. Выделяются следующие основные этапы:
1. установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ;
2. оформление и учет носителя для документирования выделенного комплекса конфиденциальной информации;
3. составление вариантов и черновика текста документа;
4. учет подготовленного черновика конфиденциального документа;
5. изготовление проекта конфиденциального документа;
6. издание конфиденциального документа.
Указанные этапы характеризуются не только регламентированной технологией, но и жесткими правилами работы исполнителей с конфиденциальной информацией. Сам факт запечатления ценной информации на носителе предполагает наличие защитных мер в отношении информации и носителя от различных рисков.
Общеизвестно, что в наибольшей безопасности находится конфиденциальная информация, не зафиксированная на каком-либо носителе. Угрозы ценной информации появляются немедленно при возникновении мысли о необходимости ее документирования. В связи с этим система защиты конфиденциальной информации должна начинать функционировать не после издания (подписания) конфиденциального документа, а заблаговременно, т.е. до момента нанесения на чистый лист бумаги первых письменных знаков будущего документа.
Перед реализацией мысли о создании документа первоначально решается вопрос об уровне грифа конфиденциальности информации, которая должна быть включена в документ. В основе присвоения документу грифа конфиденциальности должны лежать: перечень конфиденциальных сведений учреждения, фирмы, требования партнеров, условия контрактов, а также перечень конфиденциальных документов учреждения, фирмы. Система грифования (маркирования) документов не гарантирует сохранность информации, однако, позволяет четко организовать работу с документами и, в частности, сформировать систему доступа персонала к документам.
Напомним ещё один раз, гриф конфиденциальности или гриф ограничения доступа к традиционному, машиночитаемому или электронному документу (реквизит 13) представляет собой элемент (служебную отметку, помету, пометку) формуляра документа, свидетельствующий о закрытости содержащихся в документе сведений и проставляемый на самом документе и сопроводительном письме к нему.
Информация и документы, отнесенные к коммерческой или производственной тайне, имеют несколько уровней грифа ограничения доступа, соответствующих различным степеням конфиденциальности информации.
К первому массовому уровню относятся грифы “Конфиденциально”, “Конфиденциальная информация”. Не следует ставить гриф “Коммерческая тайна”, т.к. грифом обозначается не вид тайны, а характер ограничения доступа к документу.
Второй уровень, достаточно редкий, он распространяется на грифы “Строго конфиденциально”, “Строго конфиденциальная информация”, “Конфиденциально. Особый контроль”. Этот гриф присваивается документу лично первым руководителем учреждения, фирмы, который изменяет или отменяет его. Использование и хранение документов с этим грифом также организуется первым руководителем с возможным привлечением руководителя службы КД.
На документах, содержащих сведения, отнесенные к служебной тайне, ставится гриф “Для служебного пользования”.
Гриф ограничения доступа не сокращается по написанию. Проставляется без кавычек на верхнем поле документа с правой стороны бланка или на первом и титульном листах документа, а также на обложке дела (тома) в правом верхнем углу. На электронных документах и документах, записанных на любых машинным носителях, гриф обозначается на всех листах. Под обозначением грифа указывается номер экземпляра документа, срок действия грифа и условия его снятия. Например:
Конфиденциально
Экз. № 2
До окончания исполнения
Ниже грифа или ниже адресата могут обозначаться ограничительные пометы типа “Лично”, “Только в руки”, “Только адресату”, “Лично в руки”. При регистрации конфиденциальных документов к его номеру добавляется сокращенное обозначение грифа конфиденциальности, например, №№ 37к, 89ск, 97дсп.
Документы и информация, конфиденциальные в целом, в своей массе (например, документация кадровой службы, службы безопасности, документы, отнесенные к профессиональной тайне), как правило, не маркируются, потому что в полном объеме обладают строгим ограничением доступа к ним персонала.
На ценных, но не конфиденциальных документах может проставляться помета (надпись, штамп), предполагающая особое внимание к сохранности таких документов, например, “Собственная информация учреждения фирмы”, “Информация особого внимания”, “Копии не снимать”, “Хранить в сейфе”. Может ставиться штамп, что данная информация без согласия фирмы не может быть использована в каких-либо коммерческих целях и по миновании надобности должна быть возвращена собственнику. Гриф или штамп обязательно проставляются при направлении конфиденциальной для фирмы информации в государственные учреждения, которые обязаны держать ее в тайне.
Гриф конфиденциальности присваивается документу:
1. исполнителем при подготовке проекта документа;
2. руководителем структурного подразделения (направления деятельности) или руководителем учреждения, фирмы при согласовании или подписании документа;
3. работником службы КД при первичной обработке поступающих документов, если конфиденциальный для учреждения, фирмы документ не имеет грифа ограничения доступа.
Изменение или снятие грифа конфиденциальности документа производится при изменении степени конфиденциальности и ценности содержащихся в нем сведений. Основаниями для этих действий являются соответствующая корректировка перечней конфиденциальных сведений или документов фирмы, истечение установленного срока действия грифа, наличие события, при котором гриф должен быть изменен или снят (например, опубликование ноу-хау в печати, патентование изобретения и др.); установление факта ошибочности присвоения грифа документу.
Руководители всех рангов и исполнители несут персональную ответственность за своевременное и правильное установление, изменение и снятие грифа конфиденциальности. Фактическое изменение или снятие грифа осуществляет должностное лицо, подписавшее (утвердившее) документ, а также первый руководитель учреждения, фирмы.
Процедуры изменения и снятия грифа конфиденциальности с документов учреждения, фирмы должны быть четко регламентированы.
В целях своевременного информирования соответствующих должностных лиц о необходимости выполнения этих процедур сотрудник службы КД должен регулярно просматривать учетные карточки или инвентарные описи конфиденциальных документов и выявлять те документы, по которым могут быть изменены характеристики ограничения доступа. При изменении или снятии грифа должностное лицо делает отметку на самом документе и в сопроводительном письме. Старый гриф зачеркивается одной чертой и выше указывается или новый гриф или фраза “Гриф снят”. Ниже фиксируется основание для выполнения этого действия и проставляется подпись и дата. В соответствии с этой отметкой делаются необходимые записи в учетной форме документа. После снятия грифа документ передается в службу открытого делопроизводства учреждения, фирмы. При необходимости об изменении или снятии грифа конфиденциальности с документа сообщается заинтересованным учреждениям, фирмам.
Другим принципиально важным вопросом, решаемым заблаговременно руководством учреждения, фирмы, службой КД и исполнителями, т.е. до начала составления текста документа, является определение необходимости предварительной регистрации носителя, на котором будет формироваться черновик и беловик документа. Назначение учета носителей конфиденциальной информации состоит в том, чтобы обеспечить безопасность информации, контроль за ней не только в подлиннике документа, но и во всех черновых материалах, вариантах и редакциях документа, отдельных записях и подготовительных материалах. На чистом носителе информации ставится избранный гриф конфиденциальности будущего документа.
Носителями документированной конфиденциальной информации могут быть:
1. для традиционных текстовых документов - специальный блокнот с отрывными листами и корешком, выполняющим функцию учета листов и нанесения отметок о целевом их использовании; рабочая и стенографическая тетради для больших по объему документов; отдельные пронумерованные листы бумаги, типографские формы и бланки документов;
2. для чертежно-графических документов - пронумерованные листы ватмана, кальки, пленки, координатной бумаги и т.п.;
3. для машиночитаемых документов - маркированные и пронумерованные магнитные ленты, диски, дискеты, карты;
4. для аудио- и видеодокументов - магнитная пленка в маркированных и пронумерованных кассетах, лазерные диски, кинопленка в кассете;
5. для фотодокументов фотопленка в маркированных и пронумерованных кассетах, фотобумага, микрофотопленка в специальных кассетах.
Основными задачами учета носителей конфиденциальной информации или как часто их называют в научной литературе, документов предварительного учета, можно назвать следующие:
1. закрепление факта присвоения носителю категории конфиденциальности, ограниченного доступа;
2. присвоение носителю учетного номера и включение его в справочно-информационный банк данных для контроля за использованием и проверки наличия;
3. документирование фактов перемещения носителя между сотрудниками учреждения, фирмы, закрепление персональной ответственности за его сохранность;
4. контроль за работой исполнителя над документом и своевременным уничтожением носителя или его частей, потерявших практическое значение.
Все типы носителей конфиденциальной документированной информации должны быть учтены до начала составления на них проектов черновика, вариантов и беловика будущего документа. При этом реализуются следующие требования, обеспечивающие защиту информации:
1. формирование основы для последующей персональной ответственности сотрудника за сохранность носителя, повышенного внимания к нему;
2. предупреждение возможности нецелевого использования носителя или его неправильного хранения;
3. формирование схемы доступа в соответствии с грифом конфиденциальности будущего документа;
4. предупреждение возможности тайной подмены носителя, изъятие из него или включение в него отдельных частей (листов, кусков фото-, кино-, видео- или магнитной пленки), для чего фиксируются технические характеристики носителя (количество листов, длина ленты, наличие склеек и др.);
5. предупреждение технической возможности тайной
6. разборки кассет, пеналов, футляров, конвертов и других оболочек, содержащих технические носители информации;
7. включение носителя в сферу регулярного контроля за сохранностью и местонахождением.
В службах КД коммерческих фирм бумажные носители текстовой и технической информации ставятся на инвентарный (перечневый) учет. В этих структурах учет носителей целесообразен только на уровне руководства учреждения, фирмы, т.к. именно здесь концентрируется вся действительно ценная информация. На уровне исполнителей документирование элементов конфиденциальной информации ведется на не учитываемых предварительно носителях. Однако не следует думать, что не учитываемый носитель - это любой кусок бумаги, на котором можно фиксировать конфиденциальные сведения и который тем можно смять и выбросить в мусорную корзину. Не учитываемый носитель - это блокнот или тетрадь с пронумерованными листами, наличием заверительной надписи и росписью целевого использования каждого листа. Обязательно учитываются типовые формы и бланки документов. На чистых листах бумаги ставится штамп службы КД, листы нумеруются.
У носителя может отсутствовать учетный номер, но в опись документов, находящихся у исполнителя, его количественные параметры обязательно вносятся. Исполнитель в любой момент должен быть готов отчитаться об использовании каждого листа.
В производственных и исследовательских учреждениях фирмах, обладающих оригинальными технологиями и производственными секретами типа “ноу-хау”, конфиденциальные документы на всех уровнях управления целесообразно составлять только на предварительно учтенных носителях информации.
Обязательному инвентарному учету и маркировке на всех уровнях управления подлежат магнитные носители информации, для которых любые угрозы представляют значительно большую опасность, чем для бумажных, а обнаружение реализации этих угроз возможно только на основе сложных аналитических наблюдений. Маркировка предусматривает нанесение на носитель инвентарного номера, даты регистрации, наименования структурного подразделения и фамилии исполнителя. Надписи делаются механически стойким красителем. Одновременно этим же веществом окрашиваются винты и другие детали, скрепляющие корпус кассеты, дискеты или футляра с целью сигнализации об их несанкционированном вскрытии.
Этап оформления и учета носителей конфиденциальной информации, выдачи их исполнителям и приема от исполнителей выполняется в службе КД как в традиционном, так и автоматизированном режимах и включает следующие процедуры:
1. первичное оформление носителя, в процессе которого выполняются специализированные операции, позволяющие в дальнейшем контролировать подлинность носителя и сохранность всех его элементов;
2. традиционный или автоматизированный учет носителя, при котором документируется факт включения носителя в категорию ограниченного доступа с присвоением ему инвентарного номера;
3. окончательное оформление носителя, в процессе которого учетные данные переносятся на носитель и его составные части для их идентификации;
4. выдача учтенного, укомплектованного носителя информации исполнителю, закрепление за ним персональной ответственности за сохранность носителя, его целостность и целевое использование;
5. выдача исполнителю при необходимости дополнительных учтенных листов, форм и бланков;
6. возврат исполнителем носителя информации и проверка комплектности носителя, наличие оправдательных отметок за отсутствующие элементы и документирование факта передачи носителя в службу КД;
7. ежедневная проверка правильности учета носителей и их наличия.
При работе с исполнителями работник службы КД педантично решает следующие задачи обеспечения защиты информации:
1. предотвращение выдачи носителя лицу, не связанному с составлением конкретного документа, или исключенному из состава лиц, допускаемых к данному носителю (составляемому документу);
2. выявление факта утраты носителя или его частей, организация поиска носителя и проведение служебного расследования;
3. предотвращение нарушения принципа персональной ответственности за сохранность носителя и фиксируемой в нем информации;
4. обнаружение факта подмены носителя другим, фальсификация части носителя;
5. обнаружение фактов случайной или умышленной порчи носителя, изменения формата, нумерации листов, выбывание листов, их загрязнение, склеивание;
6. предотвращение несанкционированной и не оправданной деловой необходимостью передачи носителя между руководителями и исполнителями;
7. предотвращение несанкционированного ознакомления посторонних лиц с содержанием информации, зафиксированной на носителе, в процессе его выдачи исполнителю и приема от исполнителя.
Следовательно, до начала составления черновика конфиденциального документа должен быть выполнен ряд принципиально важных технологических этапов обеспечения сохранности тайны учреждения, фирмы, что позволяет в будущем свести к минимуму риск утраты ценной информации, документирование которой пока только предполагается.
Этап составления текста конфиденциального документа методически мало отличается от аналогичной творческой, формально-логической и технической работы, проводимой при формировании содержания открытого документа.
Однако исполнителю следует всегда помнить, что конфиденциальная информация документируется только при наличии серьезных объективных потребностей, а не субъективного желания сотрудника учреждения, фирмы.
Составление текстов особо ценных конфиденциальных документов обычно централизуется на уровне руководства учреждения, фирмы. Менее значимые конфиденциальные документы по отдельным функциональным вопросам составляются децентрализовано руководителями структурных подразделений (направлений деятельности) учреждения, фирмы и иногда допущенными к этой работе исполнителями (опытными менеджерами, экспертами).
При документировании конфиденциальной информации следует учитывать:
1. объем включаемых в документ конфиденциальных сведений должен быть минимальным и определяться реальной ситуацией;
2. документ всегда должен касаться только одного вопроса (темы), что важно не столько для быстрого доведения документа до исполнителя, сколько для обеспечения четкого функционирования системы доступа персонала к конфиденциальной информации, необходимой только данному сотруднику, и предотвращения несанкционированного ознакомления сотрудников учреждения, фирмы и других лиц с излишней информацией;
3. необходимо заблаговременно предусмотреть, что сводные плановые, организационные, распорядительные (особенно приказы по основной деятельности), отчетные и другие подобные документы, составляемые в виде сложных многоадресных схем текстовой части заданий и исполнителей, в полном объеме не должны рассылаться по подразделениям и исполнителям; такие документы доводятся до исполнителей избирательно в виде составленных в рамках этих документов функциональных персонифицированных приложений-заданий или отдельных документов; документы, сохраняющие исторически сложившуюся сложную, многостраничную традиционную форму текста, являются серьезным каналом утраты ценной информации;
4. информация, относящаяся к секретам учреждения, фирмы, должна быть максимальным образом локализована в конкретной части документа, его разделе, приложении, отдельной дискете, электронном массиве с усложненной системой доступа (например, большой по объему неконфиденциальный документ может иметь раздел, выделенный в отдельную часть и содержащий комплекс информации ограниченного доступа);
5. включаемые в документ конфиденциальные фотоиллюстрации, графики, схемы наклеиваются на учтенные листы, их количество оговаривается в сопроводительном письме или специальной записи;
6. не допускается снимать копии и делать выписки из ранее изданных конфиденциальных документов без разрешения соответствующего должностного лица или организации-автора;
7. конфиденциальные показатели (формулы, выводы, результаты наблюдений, опытов, описания технологических процессов) должны фиксироваться в документе только один раз; при необходимости повторного их описания делается ссылка на документ, в котором они были ранее отражены;
8. в неконфиденциальных документах не допускаются намеки на наличие конфиденциальных сведений, изложение конфиденциальных сведений в иносказательной форме;
9. сопоставление плановых и отчетных показателей деятельности учреждения, фирмы, результаты перспективных маркетинговых исследований, аналитические выводы по производству и продаже продукции, параметры новой технологии, характеристики ноу-хау и т.п. допускается документировать и хранить только на уровне первого руководителя учреждения, фирмы в документах, делах, базах данных с грифом “Строго конфиденциально”;
10. не допускается включение в неконфиденциальные документы сведений, составляющих интеллектуальную собственность или коммерческую тайну других учреждений, фирм или лиц (даже при отсутствии соответствующего пункта в договоре о сотрудничестве);
11. для обеспечения высокого уровня конфиденциальности документов, пересылаемых обычной почтой, передаваемых по незащищенным каналам связи и хранящимся в компьютерах, целесообразно решить вопрос о шифровании информации.
Следовательно, документирование конфиденциальной информации является более сложным процессом по сравнению с аналогичной работой по составлению открытого документа. Усложнение процесса определяется объективной необходимостью создать условия для обеспечения сохранения в тайне сведений, включаемых в документ.
Издаваемые на предприятии конфиденциальные распорядительные документы (постановления, распоряжения, приказы, указания, решения), а также протоколы , помимо учетного номера, должны иметь ежегодную порядковую нумерацию в пределах каждого из этих видов документов. Для обеспечения последовательности проставления таких номеров, ускорения поиска документов необходимо вести журналы учета изданных конфиденциальных распорядительных документов и протоколов по каждому их виду отдельно. Журнал имеет следующие графы:
Порядковый номер и гриф конфиденциальности | Дата | Учетный номер | Заголовок | Количество экземпляров | Количество листов в экземпляре | Отметка о место-нахождении |
В графе 3 проставляется учетный номер документа, присвоенный ему по журналу учета изданных документов.
Графы 1-4 обязательны, целесообразность включения граф 5-7 должна определяться главным образом объемом и характером справочной работы по документам.
Дата добавления: 2015-09-06; просмотров: 782 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Требования к учету конфиденциальных документов | | | Учет поступивших конфиденциальных документов |