Алексенцев А.И. Конфиденциальное делопроизводство. Конфиденциальное делопроизводство
Скачать 362 Kb.
|
СУЩНОСТЬ, ЗАДАЧИ И ОСОБЕННОСТИ КОНФИДЕНЦИАЛЬНОГО ДЕЛОПРОИЗВОДСТВА По уровню доступности документы подразделяются на две категории: общедоступные и с ограниченным доступом. Общедоступными являются открытые документы. К документам с ограниченным доступом относятся документы, работа с которыми может производиться по специальному разрешению уполномоченных на то лиц. Документирование открытой информации и организация работы с открытыми документами входят в сферу действия открытого делопроизводства. Документы с ограниченным доступом относятся к сфере деятельности не одного, а нескольких типов делопроизводства, в зависимости от того, к какому виду тайны относится содержащаяся в документах информация. Нормативными документами установлено 6 видов тайны государственная, коммерческая, служебная, личная, семейная и профессиональная. Документы, содержащие государственную тайну, относятся к сфере секретного делопроизводства. Документы, содержащие личную и различные подвиды профессиональной тайны, являются предметом соответствующих типов специального делопроизводства. Конфиденциальное делопроизводство, как уже было отмечено, распространяется на документы, содержащие коммерческую и служебную тайну. При этом к документам, составляющим служебную тайну, отнесенные только документы с грифом "Для служебного пользования", т.к.документы, содержащие коммерческую тайну других субъектов, должны обрабатываться и защищаться в режиме коммерческой тайны. Объединение конфиденциальных документов, содержащих коммерческую и служебную тайну, одним делопроизводством обусловлено тем, что эти документы почти полностью идентичны по технологическим процедурам составления, обработки, обращения, хранения и защиты. Конфиденциальное делопроизводство следует определять как деятельность, обеспечивающую документирование конфиденциальной формации, организацию работы с конфиденциальными документами и защиту содержащейся в них информации. При этом под документированием информации понимается процесс подготовки и изготовления документов, под организацией работы с документами - их учет, размножение, прохождение, исполнение, отправление, классификация, систематизация, подготовка для архивного хранения, уничтожение, режим хранения и обращения, проверки наличия. Конфиденциальное делопроизводство в целом базируется на тех же принципах, что и открытое делопроизводство, но в то же время имеет отличия, обусловленные конфиденциальностью документированной информации. Эти отличия касаются сферы конфиденциального делопроизводства и охватываемых им видов работ с документами. По сфере деятельности открытое делопроизводство распространяется на управленческие действия и включает в основном управленческие документы. Конфиденциальное делопроизводство в силу условий работы с конфиденциальными документами распространяется как на управленческую, так и на различные виды производственной деятельности, включает не только управленческие, но и научно-технические документы (научноисследовательские, проектные, конструкторские, технологические и др.). Кроме того, конфиденциальное делопроизводство распространяется не только на официальные документы, но и на их проекты, различные рабочие записи, не имеющие всех необходимых реквизитов, но содержащие информацию, подлежащую защите. По видам работ конфиденциальное делопроизводство отличается от открытого, с одной стороны, большим их количеством, с другой - содержанием и технологией выполнения многих видов. Помимо этого, третья составляющая конфиденциального делопроизводства - защита содержащейся в конфиденциальных документах информации - вообще не предусмотрена в определении открытого делопроизводства, хотя определяемая собственником часть открытой информации должна защищаться от утраты. Конфиденциальная информация должна защищаться и от утраты, и от утечки. Термин "утечка конфиденциальной информации", вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления, к тому же он давно уже закрепился в научной литературе и нормативных документах. Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа, независимо от того, работают или не работают такие лица на данном предприятии обусловлены уязвимостью информации. Уязвимость информации следует понимать как ее доступность для дестабилизирующих воздействий, т.е. таких воздействий, которые нарушают установленный статус информации. Нарушение статуса любой документированной информации включается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц). Уязвимость документированной информации - понятие собирательное. Она не существует вообще, а проявляется в различных формах. К таким формам, выражающим результаты дестабилизирующего воздействия на информацию, относятся (в скобках указаны существующие варианты названий форм): хищение носителя информации или отображенной в нем информации (кража); потеря носителя информации (утеря); несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение); искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация); блокирование информации; разглашение информации (распространение, раскрытие). Термин "разрушение" употребляется главным образом приме- нителы к информации на машинных носителях. Существующие варианты названий: модификация, подделка, фальсификация - не совсем адекватны термину "искажение", они имеют нюансы, однако суть их одна и та же - несанкционированное частичное и полное изменение состава первоначальной информации. Блокирование информации в данном контексте означает блокирование доступа к ней правомочных пользователей, а не злоумышленников. Разглашение информации является формой проявления уязвимости только конфиденциальной информации. Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействий Такими источниками могут быть люди, технические средства обработки передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию являются копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др. Реализация форм проявления уязвимости документированной информации приводит или может привести к двум видам уязвимости - утрате или утечке информации. К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации. К утечке конфиденциальной документированной информации приводит ее разглашение. В литературе и даже в нормативных документах термин "утечка конфиденциальной информации" нередко заменяется или отождествляется с терминами; "разглашение конфиденциальной информации", "распространение конфиденциальной информации". Такой подход не является правомерным. Разглашение или распространение конфиденциальной информации означают несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем -то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). "Может произойти" не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть и "прихвачен" мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит. Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Имелось немало случаев, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью "подсидки", причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их. Но в любом случае потеря и хищение конфиденциальной информации если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно определить, во-первых, сам факт разглашения или хищения конфиденциальности информации при сохранности носителя информации у ее собственника (владельца), во -вторых, попала ли информация вследствие ее хищения или потери посторонним лицам. Суммируя соотношение форм и видов уязвимости защищаемой информации, можно констатировать: Формы проявления уязвимости информации выражают результаты дестабилизирующего, воздействия на информацию, а виды уязвимости -конечный суммарный итог реализации форм проявления уязвимости. Утрата информации включает в себя, по сравнению с утечкой, большее число форм проявления уязвимости информации, но она не поглощает утечку, т.к. не все формы проявления уязвимости информации, которые приводят или могут привести к утечке, совпадают с формами, приводящими к утрате. Наиболее опасными формами проявления уязвимости конфиденциальной документированной информации являются потеря, хищение и разглашение - первые две одновременно могут привести и к утрате, и к утечке информации, вторая (хищение информации при сохранности носителя) и третья могут не обнаружиться, со всеми вытекающими из этого последствиями. Неправомерно отождествлять, как это нередко делается в научной литературе и нормативных документах, включая законы, виды и отдельные формы проявления уязвимости информации (утрата = потеря, утрата = хищение, утечка = разглашение (распространение), а также формы проявления уязвимости информации и способы дестабилизирующего воздействия на нее. Необходимо уделять одинаковое внимание предотвращению как утраты защищаемой документированной информации, так и ее утечки, т.к. ущерб собственнику информации наносится в любом случае. Защита конфиденциальной документированной информации от утра-; ты и утечки осуществляется в определенной мере в рамках и первой, второй составляющих конфиденциального делопроизводства, т.к. она взаимоувязана, "переплетена" с ними: документирование конфиденциальной информации и организация работы с конфиденциальными документами должны производиться в условиях обеспечения их защиты, и вместе с тем многие вопросы защиты решаются в ходе и путем осуществления систематических операций по учету и обработке документов. Однако защитные мероприятия охватывают не только сами документы но и другие объекты, так или иначе связанные с защищаемыми документами (помещения, технические средства обработки и передачи информации и др.) Поэтому в определении конфиденциального делопроизводства защита документированной информации выделена в самостоятельную составляющую. Конфиденциальное делопроизводство шире открытого и по своим задачам. Если задачей открытого делопроизводства является документационное обеспечение управленческой деятельности, то конфиденциальное делопроизводство должно осуществлять решение двух задач: документационное обеспечение всех видов конфиденциальной деятельности; защита документированной информации, образующейся в процессе конфиденциальной деятельности. Первая задача имеет своей целью организацию и бесперебойное функционирование конфиденциальной деятельности в сфере любого вида производства и управления. Это требует от делопроизводства обеспечения нужд конфиденциальной деятельности полной, своевременной и достоверной документной информацией, организации исполнения и использования документов. Полноту документной информации характеризует ее объем, который, с одной стороны, должен быть достаточным для принятия управленческих решений и выполнения производственных заданий, с другой стороны, являться действительно необходимым, не содержащим избыточной, не нужной для деятельности предприятия информации. Достоверность документной информации заключается, во- первых, в ее соответствии объективному состоянию того или другого вопроса и, во-вторых, в ее юридической силе, характеризующейся наличием и правильностью оформления соответствующих реквизитов. Своевременность документной информации означает, что за время обработки и передачи информации не изменилось состояние вопроса, к которому она относится. Организация исполнения документов включает в себя и оперативное доведение их до исполнителей, и обеспечение своевременного и качественного решения содержащихся в документах вопросов. Организация использования документов состоит в обеспечении как текущего, оперативного, так и последующего, ретроспективного использования документной информации. Вторая задача имеет своей целью обеспечение сохранности и кон - фиденциальности документированной информации, что требует создания и поддержания специальных условий хранения, обработки и обращения документов, гарантирующих надежную защиту, как самих документов, так и содержащейся в них информации. Сущность конфиденциального делопроизводства обусловливает его организационные и технологические особенности, к числу основных из которых относятся: письменное нормативное закрепление общей технологии документирования, организации работы с документами и их защиты; жесткое регламентирование состава издаваемых документов и содержащейся в них информации, в том числе на стадии подготовки черновиков и проектов документов; обязательный поэкземплярный и полистный учет всех, без исключения, документов, проектов и черновиков; максимально необходимая полнота регистрационных данных о каждом документе; фиксация прохождения и местонахождения каждого документа; проведение систематических проверок наличия документов; разрешительная система доступа к документам и делам, обеспечивающая правомерное и санкционированное ознакомление с ними; жесткие требования к условиям хранения документов и обращения с ними, которые должны обеспечивать сохранность и конфиденциальность документированной информации; регламентация обязанностей лиц, допущенных к работе с конфиденциальной документированной информацией, к ее защите; персональная и обязательная ответственность за учет, сохранность документов и порядок обращения с ними. Особенностью конфиденциального делопроизводства является и своеобразное переплетение некоторых функций, которые на первый взгляд как бы взаимоисключают друг друга. В частности, функциями по реализации задачи документационного обеспечения конфиденциальной деятельности являются создание документов, необходимых и достаточных для такой деятельности, предоставление каждому пользователю всех документов, требующихся для выполнения должностных обязанностей, параллельными им функциями по реализации задачи защиты конфиденциальной информации - предотвращение необоснованного издания и рассылки документов, исключение необоснованного ознакомления с документами. На самом деле применительно к документированию это означает, что конфиденциальная деятельность должна обеспечиваться минимальным количеством документов при сохранении полноты и достоверности информации, применительно к организации документооборота - предоставление пользователям всех необходимых документов, но только тех, которые действительно требуются для выполнения должностных обязанностей. Особенности конфиденциального делопроизводства одновременно выступают и в качестве требований к нему. ОРГАНИЗАЦИЯ КОНФИДЕНЦИАЛЬНОГО ДЕЛОПРОИЗВОДСТВА Организация конфиденциального делопроизводства означает создание необходимых условий для изготовления и получения конфиденциальных документов, организации работы с ними и предотвращения утраты и утечки документированной конфиденциальной информации. Организация конфиденциального делопроизводства включает создание подразделения, обеспечивающего изготовление, учет, хранение, обработку и использование конфиденциальных документов, установление его статуса, структуры, численного и должностного состава, разработку положения о подразделении и должностных инструкций сотрудников, выделение для подразделения служебного помещения, обеспечение необходимых условий труда, разработку или приобретение нормативных документов и методической литературы по организации и ведению конфиденциального делопроизводства, создание постоянно действующей экспертной комиссии, оформление допуска сотрудников к коммерческой и служебной тайне и обучение их правилам работы с конфиденци- альными документами. Конфиденциальное делопроизводство в силу небольшого по сравнению с открытым делопроизводством объема документов и в целях обеспечения условий для сохранности и конфиденциальности документов должно быть централизованным, т.е. сосредоточенным в едином подразделении предприятия. Подразделение конфиденциального делопроизводства может быть самостоятельным структурным подразделением предприятия, подчиненным непосредственно руководителю предприятия, или входить в состав Других подразделений, как правило, осуществляющих защиту конфиденциальной информации: службу безопасности, службу защиты информации и др.5 В "Положении о порядке обращения со служебной информацией ограниченного распространения" сказано: "Прием и учет (регистрация) документов, содержащих служебную информацию ограниченного Распространения, осуществляются, как правило, структурными подразделениями, которым поручен прием и учет несекретной документации", однако это целесообразно лишь при незначительном объеме таких документов и при отсутствии документов, содержащих коммерческую тайну. Наименование подразделения конфиденциального делопроизводства, статус и при необходимости структуру определяет руководитель предприятия, исходя из объема конфиденциального делопроизводства и общей структуры предприятия. Подразделение конфиденциального делопроизводства является составной частью системы защиты коммерческой и служебной тайны, органом, осуществляющим, координирующим и контролирующим работу с конфиденциальными документами. Оно должно рассматриваться как структурное подразделение, непосредственно участвующее в основной деятельности предприятия. Численный состав сотрудников подразделения конфиденциального делопроизводства должен определяться объемом выполняемой работы с учетом норм времени на ее выполнение. Поскольку государственных нормативов времени на работы, связанные с конфиденциальным делопроизводством, нет, следует использовать государственные нормативы времени, установленные для открытого делопроизводства, например: "Укрупненные нормативы времени на работы по делопроизводственному обслуживанию", утвержденные постановлением Госкомтруда СССР и Секретариата ВЦСПС от 20 мая 1987 г. № 327/1742 (изданы в 1988 г.); "Межотраслевые укрупненные нормативы времени на работы по документационному обеспечению управления", утвержденные постановлением Министерства труда Российской Федерации от 25 ноября 1994 г. № 72 (изданы в 1995 г.), и др. Как показывает практика, содержащиеся в названных и других документах нормативы применительно к конфиденциальному делопроизводству должны быть увеличены в среднем примерно на 20-25%, что вызывается большим количеством |