Рфвоов. Особенности защиты систем электронного документооборота-1. Краткое содержание вопросов Особенности конфиденциального электронного документооборота
 Скачать 22.9 Kb.
|
|
«Особенности защиты систем электронного документооборота» Вопросы лекции: 1. Особенности конфиденциального электронного документооборота. 2. Основные виды защищаемой информации в системе электронного документооборота, виды документов ограниченного доступа. Краткое содержание вопросов: 1. Особенности конфиденциального электронного документооборота 1. Организация конфиденциального делопроизводства В настоящее время регламентация документирования, организации и технологии документационного обеспечения управления ведётся в нескольких направлениях: законодательное регулирование, стандартизация, разработка нормативных и нормативнометодических документов общегосударственного действия. Высшей правовой значимостью обладают законы Российской Федерации. Федеральный закон Российской Федерации "Об информации, информатизации и защите информации" закрепил обязательность документирования информации, установил ряд терминов (информация, информатизация, информационные ресурсы, документированная информация и др.), урегулировал отношения, возникающие при создании и использовании информационных технологий, установил обязательность предоставления информации государственным органам. Организация конфиденциального делопроизводства включает в себя создание подразделения, обеспечивающего изготовление, учет, хранение, обработку и использование конфиденциальных документов, установление его статуса, структуры, численного и должностного состава, разработку положения о подразделении и должностных инструкций сотрудников, выделение для подразделений служебных помещений, обеспечение необходимых условий труда, разработку или приобретение нормативных документов и методической литературы по организации и ведению конфиденциального делопроизводства, создание постоянно действующей экспертной комиссии, оформление допуска сотрудников к коммерческой тайне и обучение их правилам работы с конфиденциальными документами. В основе санкционированной работы персонала с конфиденциальными документами, а также правомерности документирование сотрудниками конфиденциальных сведений лежит разрешительная система доступа к секретам фирмы. Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых собственников информации с целью обеспечения регламентированного использования сотрудниками доверенных им ценных сведений, необходимых для выполнения служебных обязанностей. 2. Документирование конфиденциальных сведений Важно, что в отличие от открытых документов процесс документирования конфиденциальной информации насыщен специфическими технологическими этапами и процедурами. Выделяются следующие основные этапы: получение разрешения полномочного руководителя на документирование конфиденциальной информации; установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ; оформление и учет носителя для документирования выделенного комплекса конфиденциальной информации; составление вариантов и черновика текстов документа; получение разрешения полномочного руководителя на изготовления документа; учет подготовленного черновика конфиденциального документа; изготовление проекта конфиденциального документа; издание конфиденциального документа. Указанные этапы характеризуются не только регламентированной технологией, но и жестокими правилами работы с конфиденциальной информации. Сам факт запечатления ценной информации на носители предполагает наличие защитных мер в отношении информации и носителя от различных рисков. Перед решение вопроса о присвоении будущему документу грифа конфиденциальности должно быть получено разрешении полномочного (обычно первого) руководителя фирмы на составлении этого документа. Как правило, для типовых категорий документов такое разрешение определяется наличием данного типа документа в утвержденном первым руководителем фирмы перечне ценных и конфиденциальных документов фирмы. При отсутствии предполагаемых документов в этом перечне вопрос издании решается индивидуально, о решения первого руководителя фиксируется им на носители, предназначенном для составления черновика данного документа. 3 Гриф конфиденциальности документа Своевременное установление грифа конфиденциальности сведений, подлежащих включению будущих документов, является одним из основных элементов защиты документированной информации, позволяющих обеспечить относительно надежную безопасность секретов фирмы. В основе присвоения документу грифа конфиденциальности должны лежать: перечень конфиденциальных сведений фирмы, требование партнеров, условий контрактов, а также перечень ценный и конфиденциальных документов фирмы. Руководители фирмы и структурных подразделений, филиалов фирмы имеют право присваивать гриф конфиденциальности любому разрешенному для издания, но не включенному в перечень документу, если это не противоречит действующему законодательству. Система грифования (маркирования) документов не гарантирует сохранность информации, однако позволяет четко организовать работу с документами и, в частности, сформировать систему доступа к документам персонала. Гриф конфиденциальности или гриф ограничения доступа к традиционному, машиночитаемому или электронному документу представляют собой реквизит (элемент, служебную отметку, помету, пометку) формуляра документа, свидетельствующий о конфиденциальности содержащихся в документе сведений и проставляемых на самом документе или сопроводительном письме к нему. Грифы ставятся на всех экземплярах документа, учетных и отчетных формах, черновиках, вариантах и копиях, в которых содержаться хотя бы один из конфиденциальных показателей. Информация и документы, отнесенные к коммерческой тайне, имеют несколько уровней грифа ограничения доступа, соответствующих различным степеням конфиденциальности информации. Первый, массовый уровень - грифы "Конфиденциально", "Конфиденциальная информация". Второй уровень, достаточно редкий - грифы "Строго конфиденциально", "Строго конфиденциальная информация", "Конфиденциально. Особый контроль". Этот гриф присваивается документу лично первым руководителем фирмы, им изменяется или отменяется. На документах, содержащих сведения, отнесенные к служебной тайне, ставиться гриф "Для служебного пользования", "Служебная информация" или "Не для печати". На ценных, но не конфиденциальных документах может проставляться помета (отметка, надпись, штамп), предполагающая особое внимание к сохранности таких документов. Например: "Собственная информация фирмы", "Информация особого внимания", "Копии не снимать", "Хранить в сейфе" и др. Изменения или снятие грифа конфиденциальности документа производится при изменении степени ценности содержащихся в нем ценностей. Основаниями для этих действий являются: соответствующая корректировка перечней конфиденциальных сведений или документов фирмы; истечение установленного срока действия грифа; наличие события, при котором гриф должен быть изменен или снят; установления факта неправильности присвоения грифа к документу. Процедуры изменения и снятия грифа конфиденциальности с документов фирмы должны быть четко регламентированы. При изменении или снятия грифа руководитель делает отметку на самом документе и в сопроводительном письме путем зачеркивания грифа или написания нового указания основания для выполнения этого действия и проставления подписи и даты. После снятия грифа документ передается в службу открытого делопроизводства фирмы. 1.4 Носители конфиденциальной информации Следующим принципиально важным вопросом, решаемым за благовременное руководство фирмы до начала составления текста документа, является определение необходимости предварительного учета носителя, на котором будут формироваться черновик и беловик документа. Назначение этапа учета носителя конфиденциальной информации состоит в том, чтобы обеспечить безопасность информации, контроль за её сохранностью не только в подлиннике документа, но и во всех черновых материалов, вариантах и редакциях документа, отдельных записях и подготовительных материалов. На чистом носителе информации ставится избранный гриф конфиденциальности будущего документа. Носителями документированной конфиденциальной информации могут быть: Для традиционных текстовых документов - блокнот с отрывными листами и корешком, выполняющие функцию учета листов, нанесения отметок о целевом их использовании; Рабочая и стенографическая тетради для больших по объему документов; отдельные пронумерованные листы бумаги, типографические формы и бланки документов; Для чертежно-графических документов - пронумерованные листы ватмана, кальки, пленки, координатной бумаги и т.п.; Для машиночитаемых документов - маркированные и пронумерованные диски, носители, карты и т.п.; Для аудио- и видеодокументов - маркированные и пронумерованные кассеты с магнитной пленкой, лазерные диски, кассеты с кинопленкой и т.п.; Для фотодокументов - маркированные и пронумерованные кассеты с фотопленкой, фотобумага, микрофиши, слайды, кассеты с микрофотопленкой и т.п. Основными задачами учета носителей конфиденциальной информации можно назвать следующие: закрепление факта присвоения носителю категории конфиденциальности, ограниченного доступа; присвоение носителю учетного номера и включение его в справочно-информационный банк для обеспечения контроля за использованием и проверки наличия; документирование фактов перемещения носителя между руководителями и сотрудниками фирмы, закреплением персональной ответственности за его сохранность; контроль работы исполнителя и своевременного уничтожения носителя или его частей, потерявших практическое значение. Все типы носителя конфиденциальной документированной информации должны быть учтены до начало составления на них проекта черновика, вариантов и беловика будущего документа. Учет носителей целесообразен только на уровне руководства фирмы, так как именно здесь концентрируется вся действительно ценная информация. Обязательному инвентарному учету и маркировке на всех уровнях управления и в любых структурах подлежать магнитные носители информации, для которых угрозы представляют значительно большую опасность, чем для бумажных, а обнаружение реализации этих угроз возможно только на основе сложных аналитических наблюдений. Этап оформления и учета носителей конфиденциальной информации и выдачи их руководителям или сотрудникам фирмы выполняются - службой конфиденциальной документации, решающие следующие задачи обеспечении защиты информации: Предотвращение выдачи носителя лицу, несвязанному с составлением конкретного документа или исключенного из состава лиц, допускаемых данному носителю; Выявление факта утраты носителя или его частей, организации поиска носителя и проведения совместно со службой безопасности фирмы служебного расследования; Предотвращения нарушения принципа персональной ответственности за сохранность носителя и фиксируемой в нем информации; Обнаружения фактов обмена носителя другим, фальсификации части носителя; Обнаружение фактов случайной или умышленной порчи носителя, изменение формата, нумерации листов, вырывания листов и их загрязнения, склеивания и т.п.; Предотвращения несанкционированной и не неоправданной деловой необходимостью передачи носителя между руководителями и сотрудниками; Предотвращение несанкционированного ознакомления посторонних лиц с содержанием информации, зафиксированной на носители, в процессе его выдачи руководителю, сотруднику и прием от них носителя. Следовательно, до начала составления черновика конфиденциального документа должен быть выполнен ряд принципиально важных технологических этапов обеспечения сохранности секретов фирмы, которые дают возможность будущем свести к минимуму риск утраты ценной информации, документирование которой пока только предполагается. 1.5 Санкционирование изготовления и составление текста конфиденциального документа Этап составление текста конфиденциального документа методически мало отличается от аналогичной творческой, формально-логической и технической работы, проводимой при формировании содержания открытого документа. Составление текста в ценных конфиденциальных документах обычно централизуется на уровне руководства фирмы. На любых черновика, вариантах, редакциях конфиденциальных документов (в том числе электронных), относящихся к ним материалах, записях, записках и т.п. Обязательно и заблаговременно проставляется установленный гриф ограничения доступа. Говоря о технологии подготовки к документированию и документировании конфиденциальной информации, необходимо отметить наличие трех специфических особенностей (дополнительных этапах), необходимых для обеспечения заблаговременного сохранения в тайне содержания создаваемого документа: получение разрешения на составление документа, присвоение будущему документу определенного уровня грифа конфиденциальности и предварительный учет того носителя, на котором этот документ будет составляться. Следующая, специфическая особенность, состоит в том, что ни один проект конфиденциального документа не может быть изготовлен с черновика и обрести статус правомерно документированной информации без дополнительной санкции (письменного разрешения) полномочного должностного лица фирмы. Причина появления этой особенности заключается в необходимости документирования такого правого события, как зарождение персональной ответственности данного должностного лица за издание конкретного документа, т.е. распространение конфиденциальных сведений и соответствующее увеличение состава источников, владеющих данной информацией. Сотрудник, если он не руководитель фирмы, таким правом обладать не может в силу того, что он лишь потребитель информации, а не ее собственник или владелец. Если решение об издании открытого документа принимается руководителем при подписании готового беловика документа, то вопрос об издании конфиденциального документа решается полномочным руководителем еще до изготовления первого проекта документа на основании анализа сложившейся ситуации и ознакомления с черновиком будущего документа. Решение фиксируется двумя способами: или аналогично указанным выше наличием данного документа в перечне ценных и конфиденциальных документов фирмы, или индивидуальным разрешением в виде соответствующей подписанной, как правило, первым руководителем фирмы записи на черновике документа. 1.6 Учет и изготовление конфиденциального документа Следующее и, пожалуй, наиболее существенное документирование конфиденциальной информации, касающееся уже непосредственно технологических процедур изготовления самого документа, состоит централизованном учете - присвоении учетного номера проекту будущего документу. Учету подлежат черновики всех конфиденциальных документов, независимо от места их составления и последующего изготовления проекта документа. Обязательно учитываются черновики подготовленных конфиденциальных документов. Ответным документам присваивается новый учетный номер. В случаи, когда сотрудник фирмы имеет разрешение на самостоятельное изготовление конфиденциальных документов, перед выполнением этого этапа он обязан передать черновик для учета. После регистрации черновик возвращается исполнителю под роспись учетной карточки подготовленных документов. Учетные карточки подготовленных документов отражается последовательный ход работы над проектом документов в процессе его изготовления, издания, последующего исполнения или отправки, хранения или уничтожения. Как видно, черновик и проект будущего документа постоянно находиться под контролем. Этим в определенной мере обеспечивается сохранность информации, которую руководство фирмы решило зафиксировать на том или ином типе носителя. Если открытые документы регистрируются только после их подписания или утверждения руководителя, то конфиденциальные документы - до изготовления проекта документа с черновика. Процесс превентивного, предупредительного контроля за документированием конфиденциальной информации и технологическая реализация этого процесса входят обязательной основной частью в структуру системы защиты информации от санкционированного доступа к информации постороннего лица и утраты носителя или конфиденциальности информации. Целью этапа изготовления конфиденциального документа является перепечатывание черновика документа и создания оформленного в соответствии с государственным стандартом оригинала проекта документа, предназначенного по окончанию этапа издания стать подлинником документа. Основная масса проекта типовых по содержанию конфиденциальных документов может с разрешением первого руководителя фирмы изготавливаться децентрализовано руководителями и сотрудниками фирмы непосредственно на рабочих местах при наличии специального защитного оборудования в их кабинетах и с соблюдением общего порядка учета этих документов. При этом следует помнить, что этим лицам не разрешается передавать черновики документов для печатанья техническим сотрудникам подразделением и не имеющих разрешения выполнять подобную работу. Изготовление конфиденциальных документов осуществляется только на выделенных для этих целей пишущих машинах, компьютерах и принтерах. Эти средства должны находиться под контролем специалистов в службе безопасности. Конфиденциальные документы могут копироваться и тиражироваться с помощью соответствующей организационной техники и с соблюдением действующих требований по защите информации и сохранности всех сопровождающих этот процесс промежуточных носителей. Копирование и тиражирование конфиденциальных документов всегда санкционируется первым руководителем фирмы с проставлением необходимых записей в учетной форме основного документа и основных документов. При изготовлении документов на машиночитаемых носителях могут производиться следующие действия, затрудняющие несанкционированный доступ к этим документам: шифрование всего или части текста документа, внесение программных дополнений, не позволяющих посторонним лицам прочитать или копировать документ. 2. Основные виды защищаемой информации в системе электронного документооборота, виды документов ограниченного доступа Важно, что в отличие от открытых документов процесс документирования конфиденциальной информации насыщен специфическими технологическими этапами и процедурами. Выделяются следующие основные этапы: получение разрешения полномочного руководителя на документирование конфиденциальной информации; установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ; оформление и учет носителя для документирования выделенного комплекса конфиденциальной информации; составление вариантов и черновика текстов документа; получение разрешения полномочного руководителя на изготовления документа; учет подготовленного черновика конфиденциального документа; изготовление проекта конфиденциального документа; издание конфиденциального документа. Указанные этапы характеризуются не только регламентированной технологией, но и жестокими правилами работы с конфиденциальной информации. Сам факт запечатления ценной информации на носители предполагает наличие защитных мер в отношении информации и носителя от различных рисков. Перед решением вопроса о присвоении будущему документу грифа конфиденциальности должно быть получено разрешении полномочного (обычно первого) руководителя фирмы на составлении этого документа. Как правило, для типовых категорий документов такое разрешение определяется наличием данного типа документа в утвержденном первым руководителем фирмы перечне ценных и конфиденциальных документов фирмы. При отсутствии предполагаемых документов в этом перечне вопрос издании решается индивидуально, о решения первого руководителя фиксируется им на носители, предназначенном для составления черновика данного документа. |