Организации конфиденциального делопроизводства в информационной безопасности уделяется, как правило, наименьшее внимание, хотя получение конфиденциальной информации через пробелы в делопроизводстве является одним из наиболее доступных способов.
Как создавать конфиденциальное делопроизводство в компании?
Составные части делопроизводства:
• делопроизводство материальных документов; • делопроизводство электронных документов; • система взаимодействия и сопряжения материальных и электронных документов.
Структура делопроизводства:
• документооборот компании; • информационное хранилище компании (архив).
При создании конфиденциального делопроизводства необходимо ответить на следующие вопросы.
Общие вопросы:
• Возможна ли оптимизация информационных потоков с целью минимизации затрат на создание конфиденциального делопроизводства? • Какие грифы конфиденциальности ставить на документах (конфиденциально, строго конфиденциально, ознакомление по списку, графические фигуры и т.д.)? • Кто осуществляет присвоение и снятие грифа конфиденциальности? • Какой порядок пересмотра грифа конфиденциальности? • Какое подразделение (должностное лицо) ведет учет конфиденциальных документов (ведение реестра), а также учет их перемещения; кто определяет, какие документы содержат конфиденциальную информацию? • Какие документы (кроме конфиденциальных) включать в систему конфиденциального делопроизводства (бланки строгой отчетности, номерные документы и др.)? • Как создавать конфиденциальное делопроизводство - отдельно или на базе существующего открытого делопроизводства? • Кому подчинить конфиденциальное делопроизводство и кто будет ее проверять? • Какой порядок размещения конфиденциальных документов в СМИ, Интернете и в рекламных материалах? • Какой порядок доступа к конфиденциальным документам представителей государственных структур? • Как осуществлять контроль за конфиденциальным делопроизводством, в том числе за использованием копировально-множительной техники? • Какие создать инструкции для обеспечения деятельности конфиденциального делопроизводства? как осуществлять проверки конфиденциального делопроизводства (плановая, внеплановая)
Процедурные вопросы:
• Какой порядок создания конфиденциальных документов? • Какой порядок ведения черновых конфиденциальных записей? • Какой порядок уничтожения конфиденциальных документов (коллегиальность решения, использование шредеров, регистрация об уничтожении и т.д.)? • Какой порядок пользования конфиденциальными документами? • Какой порядок размножения (копирования) конфиденциальных документов? • Какой порядок распечатывания конфиденциальных документов? • Какая процедура индексации документов? • Как осуществлять прием-передачу конфиденциальных документов (в том числе при уходе в отпуск, болезни и т.д.)? • Какой порядок учета ознакомления с конфиденциальными документами? • Какой порядок ведения конфиденциальных документов в актуальном состоянии? • Какой порядок конвертования конфиденциальных документов? • Какой порядок доклада и подписи конфиденциальных документов? • Какая роль секретарей в работе с конфиденциальными документами? • Какая процедура регистрации документов? • Как осуществлять поиск документов (по дате, по номерам, по тематике, по исполнителям и т.д.)? • Как осуществлять санкционированные выписки из конфиденциальных документов? • Как формировать дела с конфиденциальными документами? • Как осуществлять рассылку конфиденциальных документов? • Какой порядок выноса конфиденциальных документов с контролируемой территории? • Какой порядок работы с конфиденциальными документами в командировках? • Как осуществлять контроль и учет конфиденциальных документов (в бумажном или в электронном исполнении)? • Какой порядок перемещения конфиденциальных документов между территориально удаленными объектами компании? • Как создать карточку конфиденциальности документа?
Технические вопросы:
• Как оборудовать помещения, где находятся конфиденциальные документы? • Как обеспечить физическую сохранность конфиденциальных документов при их хранении? • Как осуществить защиту конфиденциальных документов от аппаратуры промышленного шпионажа?
Вопросы IT безопасности
• Как осуществлять защиту конфиденциального документа, представленного в электронном виде? • Какие использовать средства криптографической защиты информации? • Где расположить сервер с конфиденциальными документам, представленными в электронном виде, и какой будет порядок доступа к ним? • Как осуществлять резервное копирование конфиденциальных документов, представленных в электронном виде? • Как осуществлять антивирусную защиту?
Кадровые вопросы:
• Какой перечень сотрудников (должностей), имеющих право на доступ к конфиденциальным документам (в том числе есть ли этот доступ у юристов, финансистов и редакторов)? • Как оформлять обязательство сотрудника о сохранении информации, содержащейся в конфиденциальных документах? • Какой порядок проведения проверок сотрудников, работающих с конфиденциальными документами? • Какая будет мотивация персонала, работающего с конфиденциальными документами? • Как организовать обучение персонала, работающего с конфиденциальными документами? • Какой порядок оформления разрешения (допуска) на работу с конфиденциальными документами? • Какие возможны превентивные мероприятия, направленные на недопущение разглашения конфиденциальной информации сотрудниками, работающими с конфиденциальными документами? • Какой порядок проведения внутренних расследований по фактам разглашения конфиденциальной информации?
Материально-технические вопросы:
• Какие закупить сейфы для сохранности конфиденциальных документов? • Какие закупить шредеры для уничтожения конфиденциальных документов?
Вопросы по созданию архива
• Где расположить архив конфиденциальных документов? • Как осуществлять выдачу конфиденциальных документов из архива (кто имеет право получать документы, срок возвращения, контроль за возвращением документов и т.д.)? • Какой порядок работы экспертной комиссии?
Порядок создания конфиденциального делопроизводства
Порядок создания делопроизводства материальных документов:
1 этап – создание Секретариата (подразделения, отвечающего за делопроизводство) или введение в штат должности, в чьи функциональные обязанности будет входить обеспечение делопроизводства организации. 2 этап – определение как будут создаваться, учитываться, перемещаться и храниться документы. 3 этап – закупка необходимых принадлежностей для функционирования делопроизводства (сейфы, печати, оборудование для помещений и т.д.). 4 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.). 5 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей. 6 этап – создание механизмов контроля за соблюдением делопроизводства. 7 этап – создание механизма ответственности за нарушение правил делопроизводства.
Делопроизводство должно быть организовано в соответствии с ГОСТами, применяемыми в Российской Федерации. Основа – ГОСТ 6.30–97 "Унифицированные системы документации. Система организационно–распорядительной документации. Требования к оформлению документов".
Создание делопроизводства материальных конфиденциальных документов. Порядок создания. 1 этап - создание делопроизводства открытых материальных документов. 2 этап - определение перечня сведений конфиденциального характера и документов, содержащих конфиденциальные сведения. 3 этап - утверждение перечня сведений конфиденциального характера у руководства, определение порядка и сроков пересмотра данного перечня, а также снятие грифа конфиденциальности. 4 этап - определение правил делопроизводства материальных конфиденциальных документов (создание, регистрация, перемещение, хранение, уничтожение документов) на основе делопроизводства материальных документов. 5 этап – определение технических, инженерно-технических и IT решений по защите материальных конфиденциальных документов и их электронных копий. 6 этап – определение порядка допуска сотрудников к сведениям конфиденциального характера. 7 этап – заключение договоров о сохранении конфиденциальной информацией между компанией и сотрудниками, допущенными к работе с конфиденциальной информацией. 8 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.). 9 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей. 10 этап – создание механизмов контроля за соблюдением делопроизводства материальных конфиденциальных документов. 11 этап – создание механизма ответственности за нарушение правил делопроизводства материальных конфиденциальных документов.
Составные части делопроизводства материальных документов:
1. Делопроизводство, связанное со стандартными, но специфическими задачами:
• бухгалтерия; • учредительные документы; • судебно-процессуальные документы; • договорные документы и т.д.
2. Внешнее делопроизводство:
• доставка входящей корреспонденции (в бумажном виде, в виде факса и т.д.); • отправление исходящей корреспонденции (в бумажном виде, в виде факса и т.д.);
3. Внутреннее делопроизводство:
• хранение документов (у сотрудников, в Секретариате); • создание документов; • издание нормативных документов руководством организации (приказы, распоряжения и т.д.); • регистрация документа в Секретариате; • движение документа внутри организации. Создание реестровой системы передачи документов; размножение документов (снятие копий); • контроль за исполнением документов; • создание архивов документов. Экспертиза ценности документов. Возможность использования в работе документов, определенных в архив; • уничтожение документов.
Необходимые нормативные документы для функционирования делопроизводства, в том числе конфиденциального:
1. О внесении изменений и дополнений в нормативно-правовые документы организации:
• в Устав организации; • в "Коллективный договор"; • в правила внутреннего трудового распорядка для сотрудников; • в трудовой договор; • во все заключаемые договора.
2. Договор между компанией и сотрудником о сохранении конфиденциальной информации.
3. Инструкция по обеспечению сохранности конфиденциальной информации в компании. Примерный план инструкции:
• общие положения; • определение информации и обозначение документов, содержащих конфиденциальную информацию, и сроков ее действия; • организация работы с конфиденциальными документами; • порядок сохранности документов, дел и изданий, содержащих конфиденциальную информацию; • порядок допуска к сведениям, составляющим конфиденциальную информацию; • контроль за выполнением требований внутриобъектового режима при работе со сведениями, содержащими конфиденциальную информацию; • обязанности сотрудников компании, работающих со сведениями конфиденциального характера, и ответственность за их разглашение.
4. Инструкция по организации делопроизводства. Инструкция должна состоять из следующих разделов:
• общие положения; • правила составления и оформления документов; • составление и оформление основных видов документов; • организация документооборота: • порядок движения и обработки входящих документов; • порядок движения и обработки исходящих документов; • порядок движения и обработки внутренних документов; • регистрация документов; • контроль исполнения документов; • систематизация документов; • разработка номенклатуры дел; • формирование дел; • подготовка документов к архивному хранению; • экспертиза ценности документов; • описание документов постоянного и временного сроков хранения; • обеспечение сохранности дел; • передача дел в архив;
5. Кроме того, Инструкция по организации делопроизводства должна иметь ряд приложений:
• примерный перечень документов, не подлежащих регистрации; • перечень документов, на которые ставится печать; • перечень документов, подлежащих утверждению; • перечень документов, подлежащих согласованию; • форма регистрационной контрольной карточки; • перечень документов, подлежащих контролю за исполнением, с указанием сроков хранения; • акт о выделении к уничтожению документов с истекшими сроками хранения; • внутренняя опись документов дела; • опись дел, передаваемых на архивное хранение.
6. Инструкция по конфиденциальному делопроизводству. Она включает:
• определение порядка выноса-вноса конфиденциальных документов применительно к охраняемой территории; • определение порядка работы с конфиденциальными документами вне служебных помещений; • изготовление и использование бланков организации, печатей и штампов; • определение порядка использования бланков строгой отчетности (бланков компании, подготавливаемых за подписью первых лиц); • порядок передачи конфиденциальных документов в случае ухода в отпуск, командировку или увольнения с работы; • определение порядка подготовки конфиденциальных документов, его согласование, в том числе с юристами, финансистами, а также порядок подписи конфиденциальных документов; • определение порядка пересылки конфиденциальных документов вне контролируемых помещений. положение о Секретариате; • должностные обязанности сотрудников Секретариата по обеспечению делопроизводства.
Делопроизводство электронных конфиденциальных документов должно состоять из следующих взаимосвязанных систем:
• системы документооборота электронных конфиденциальных документов; • системы информационного хранилища электронных конфиденциальных документов (архив); • системы защиты электронных конфиденциальных документов; • системы сопряжения документооборотов (материальных и электронных конфиденциальных документов.
Система документооборота электронных конфиденциальных документов должна предусматривать следующие возможности:
1. Создание электронного конфиденциального документа:
• создание электронных документов с помощью текстовых редакторов, включая создание электронных документов по типовым формам; • создание составных электронных документов, состоящих из нескольких разных по формату файлов; • создание электронных документов с помощью сканирования документа на материальном носителе; • создание электронных документов с помощью иных электронных данных, полученных с помощью электронной почты, корпоративной компьютерной сети, устройств ввода компьютерной информации и т.д.
2. Использование электронной цифровой подписи для подтверждения авторства и подлинности электронного конфиденциального документа.
3. Работа с электронными конфиденциальными документами различных форматов (текстовых, графических и т.д.).
4. Создание регистрационных карточек электронных документов, связки регистрационной карточки с электронным документом и присвоение необходимых реквизитов, среди которых:
• дата создания, получения, исполнения; • регистрационный номер; • фамилия, имя, отчество исполнителя, адресата; • права доступа; • конфиденциальность; • количество листов и т.д.
5. Разделение документов по виду конфиденциальности, присвоение каждому документу грифа конфиденциальности и разграничение права пользователей работы с конфиденциальными документами по мандатному принципу.
6. Получение и отправление электронных конфиденциальных документов по корпоративной компьютерной сети, а также по электронной почте.
7. Работа с взаимосвязанными документами, поддержание возможности установления гиперссылок между учетными карточками или документами, связанных тематически, отменяющих или дополняющих друг друга.
8. Контроль передвижения электронных конфиденциальных документов по сети и контроль ознакомления с ними, а также контроль за копированием, редактированием и размножением электронных конфиденциальных документов.
9. Контроль исполнения резолюций, поручений, сроков исполнения, а также возможность сигнального режима, как составной части контроля.
10. Поиск электронных конфиденциальных документов по:
11. Анализ электронных конфиденциальных документов по:
• тематике; • проблематике; • исполнителям; • резолюциям; • дате создания и т.д. • дублирование (архивирование) электронных конфиденциальных документов с заданной периодичностью; • разделение конфиденциального и открытого делопроизводства электронных документов.
Система информационного хранилища электронных конфиденциальных документов должна предусматривать возможность:
• систематизации поступающих в хранилище электронных конфиденциальных документов различных видов и форм и упорядочения работы с ними; • сохранения электронных конфиденциальных документов в массивах хранилища; • отслеживания движения электронных конфиденциальных документов, выдаваемых сотрудникам, контроля и обеспечения их возврата или уничтожения; • обеспечения эффективного поиска нужных электронных конфиденциальных документов в хранилище по идентификационным признакам; • обеспечения подтверждения легитимности электронной цифровой подписи, применяемой для подтверждения авторства и подлинности электронных конфиденциальных документов; • обеспечения режима безопасности электронных конфиденциальных документов в процессе их хранения, передачи в хранилище или получения из хранилища за счет использования современных технологий и средств информационной безопасности, а также разграничение доступа пользователей.
Система защиты электронных конфиденциальных документов должна состоять из следующих взаимосвязанных блоков:
• блок технических (программных) средств защиты электронных конфиденциальных документов; • блок защиты электронных конфиденциальных документов, связанных с человеческим фактором; • блок организационных методов защиты электронных конфиденциальных документов.
Блок технических (программных) средств защиты электронных конфиденциальных документов состоит из рубежей:
1 рубеж – системы защиты информации, предусмотренные программным обеспечением, на которой работает компьютерная сеть (средства защиты Windows, Office и т.д.); 2 рубеж – системы защиты информации, встроенные в саму систему делопроизводства электронных конфиденциальных документов; 3 рубеж – системы защиты информации, дополнительно установленные в компьютерной сети на сервере и на рабочих местах пользователей.
Блок технических (программных) средств защиты электронных конфиденциальных документов должен предусматривать:
• криптографическую защиту информации при хранении и при перемещении электронных конфиденциальных документов по корпоративной компьютерной сети, сети Интернет, электронной почте; • защиту информации от несанкционированного доступа; • мандатный принцип доступа пользователей к информационным ресурсам конфиденциального делопроизводства; • контроль и защиту электронного конфиденциального документа от просмотра, изменения, копирования, распечатывания (перевода электронного документа в материальную форму); • контроль целостности и достоверности электронного конфиденциального документа, а также подтверждение авторства исполнителя с помощью электронной цифровой подписи; • защиту от вредоносных программ (вирусов).
Система сопряжения документооборотов (материальных и электронных конфиденциальных документов предусматривает возможность:
• перевода материального конфиденциального документа в электронный конфиденциальный документ; • перевода электронного конфиденциального документа в материальный конфиденциальный документ; • параллельного хождения одного и того же документа в электронном и материальном виде.