BRE.ru :: Организация конфиденциального делопроизводства
В.
Панкратьев
Организации конфиденциального делопроизводства в информационной безопасности уделяется, как правило, наименьшее внимание, хотя получение конфиденциальной информации через пробелы в делопроизводстве является наиболее простым и малозатратным способом получения информации.
системы взаимодействия и сопряжения бумажного и электронного делопроизводства.
обязательная регистрация и учет всех конфиденциальных документов, а также передача их исполнителю под расписку в реестре;
контроль не только документов, содержащих конфиденциальную информацию, но и бумаг с печатями, штампами, бланками, особенно бланков строгой отчетности, содержащих уникальный номер, зарегистрированных установленным способом и имеющих специальный режим использования;
гриф конфиденциальности документа присваивается по наивысшей степени конфиденциальности сведений, в нем изложенных;
создание конфиденциальных документов производится в изолированных, специально оборудованных помещениях, прием и выдача документов производится через специальное окно, не выходящее в общий коридор или барьер, ограничивающий доступ к рабочим местам лиц, создающих конфиденциальные документы;
уничтожение конфиденциальных документов, в том числе черновиков, в машинках для уничтожении бумаг (шредерах) в присутствии нескольких человек и с проставлением соответствующих пометок в журналах уничтожения конфиденциальных документов. При большом количестве документов возможно их сжигание;
к работе с конфиденциальными документами допускаются только лица, заключившие соответствующие договора о нераспространении коммерческой тайны;
в делах или в архивах конфиденциальные документы должны храниться отдельно от открытых, по завершении оформления дел на последнем листе делается запись о количестве пронумерованных в нем листов, заверенная соответствующей подписью и печатью;
организационно исключить необоснованное ознакомление с документами лиц, не имеющих нужных полномочий;
отправку конфиденциальных документов производить только заказными или ценными письмами, по каналам специальной связи или осуществлять доставку корреспонденции нарочным из числа сотрудников, допущенных к работе с такими документами;
контроль за использованием копировально-множительной техники, а также блокирование систем ввода-вывода информации на компьютерах, обрабатывающих конфиденциальную информацию;
организация периодической проверки делопроизводства.
Порядок создания бумажного делопроизводства 1 этап - создание Секретариата (подразделения, отвечающего за делопроизводство) или введение в штат должности, в чьи функциональные обязанности будет входить обеспечение делопроизводства организации.
2 этап - закупка необходимых принадлежностей для функционирования делопроизводства (сейфы, печати, оборудование помещений и т.д.).
3 этап - создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).
4 этап - доведение нормативных документов до сотрудников в рамках функциональных обязанностей.
5 этап - создание механизмов контроля за соблюдением делопроизводства.
6 этап - создание механизма ответственности за нарушение правил делопроизводства.
Делопроизводство должно быть организовано в соответствии с ГОСТами, применяемыми в Российской Федерации. Основа - ГОСТ 6.30-97 <Унифицированные системы документации. Система организационно-распорядительной документации. Требования к оформлению документов>.
Порядок создания конфиденциального бумажного делопроизводства 1 этап - создание обычного бумажного делопроизводства.
2 этап - определение перечня сведений конфиденциального характера и документов, содержащих конфиденциальные сведения. Разделение сведений на несколько групп по степени конфиденциальности (например: строго конфиденциальные, конфиденциальные, для служебного пользования).
3 этап - утверждение перечня сведений конфиденциального характера у руководства, а также определение порядка и сроков переутверждения данного перечня, а также снижение и снятие грифа конфиденциальности.
4 этап - определение правил конфиденциального бумажного делопроизводства на основе общего бумажного делопроизводства.
5 этап - определение порядка допуска сотрудников к сведениям конфиденциального характера.
6 этап - заключение договоров о нераспространении конфиденциальных сведений мажду сотрудниками, которые будут допущены к работе с конфиденциальной информацией и руководством организации.
7 этап - создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).
8 этап - доведение нормативных документов до сотрудников в рамках функциональных обязанностей.
9 этап - создание механизмов контроля за соблюдением конфиденциального делопроизводства.
10 этап - создание механизма ответственности за нарушение правил конфиденциального делопроизводства.
Составные части бумажного делопроизводства: Делопроизводство, связанное со стандартными, но специфическими задачами:
договорные документы и т.д.
Делопроизводство, связанное с текущей деятельностью:
Внешнее делопроизводство: доставка входящей корреспонденции (в бумажном виде, в виде факса и т.д.);
отправление исходящей корреспонденции (в бумажном виде, в виде факса и т.д.);
Внутреннее делопроизводство: хранение документов в Секретариате.
издание нормативных документов руководством организации (приказы, распоряжения и т.д.);
движение документа внутри организации. Создание реестровой системы передачи документов;
создание архивов документов. Экспертиза ценности документов. Возможность использования в работе документов, определенных в архив;
уничтожение документов.
Необходимые нормативные документы для функционирования делопроизводства, в том числе конфиденциального:
Нормативно-правовые документы организации с внесенными изменениями и дополнениями, связанными с сохранностью конфиденциальной информации:
заключаемые договора.
Договор между руководством организации и сотрудником о сохранении конфиденциальной информации.
Инструкция по обеспечению сохранности конфиденциальной информации в организации.
определение информации и обозначение документов, содержащих конфиденциальную информацию, и сроков ее действия;
порядок сохранности документов, дел и изданий, содержащих конфиденциальную информацию;
порядок допуска к сведениям, составляющим конфиденциальную информацию;
обязанности сотрудников организации, работающих со сведениями представляющими конфиденциальную информацию, и их ответственность за ее разглашение.
Инструкция по организации делопроизводства.
примерный перечень документов, не подлежащих регистрации;
перечень документов, на которых ставится печать;
перечень документов, подлежащих утверждению;
перечень документов, подлежащих согласованию;
перечень документов, подлежащих контролю за исполнением, с указанием сроков хранения;
опись дел, передаваемых на архивное хранение.
Инструкция по конфиденциальному делопроизводству, определяющая:
порядок изготовления и использования бланков организации, печатей и штампов;
порядок использования бланков строгой отчетности (бланков организации, подготавливаемых за подписью первых лиц организации);
порядок передачи конфиденциальных документов в случае ухода в отпуск, командировку или увольнение с работы;
порядок подготовки конфиденциальных документов, его согласование, в том числе с юристами, финансистами, корректорами, а также порядок подписи конфиденциальных документов;
порядок пересылки конфиденциальных документов вне контролируемых помещений.
Положение о Секретариате (подразделении отвечающего за бумажное и электронное делопроизводство).
Должностные обязанности сотрудников Секретариата по обеспечению делопроизводства.
Корпоративное конфиденциальное электронное делопроизводство должно состоять из следующих взаимосвязанных систем: системы защиты информации, циркулирующей в системе электронного конфиденциального документооборота;
системы сопряжения конфиденциального электронного и бумажного документооборота.
Система электронного конфиденциального документооборота должна предусматривать следующие возможности: возможность создания электронных документов с помощью текстовых редакторов, включая создание электронных документов по типовым формам;
возможность создания составных электронных документов, состоящих из нескольких разных по формату файлов;
возможность создания электронных документов с помощью иных электронных данных, полученных с помощью:
устройств ввода компьютерной информации (дисководы и т.д.).
работу с электронными документами различных форматов (текстовых, графических и т.д.).
создание регистрационной карточки электронного документа, связки регистрационной карточки с электронным документом и присвоение необходимых реквизитов, среди которых:
дата создания, получения, исполнения;
фамилия, имя, отчество исполнителя, адресата;
количество листов и т.д.
разделения документов по степени конфиденциальности, присвоение каждому документу грифа конфиденциальности и разграничение права пользователей работы с конфиденциальными документами по мандатному принципу.
получения и отправления электронных документов (документооборот) по корпоративной компьютерной сети, а также по электронной почте.
работы с взаимосвязанными документами, поддержание возможности установления ссылок между учетными карточками или документами, связанных тематически, отменяющих или дополняющих друг друга (например с помощью гиперссылок с возможностью просмотра цепочки взаимосвязанных документов).
контроля передвижения электронных документов по сети и контроля ознакомления с электронными документами, а также контроля за копированием, редактированием и размножением электронных документов.
осуществления контрольных функций (контроля исполнения резолюций, поручений, сроков исполнения и т.д.), а также возможность сигнального режима, как составной части контроля.
исполнителю и т.д.
дате создания и т.д.
дублирования (архивирования) электронных документов с заданной периодичностью, а также ведение систематизированных электронных архивов документов, их образов, учетных карточек с возможностью поиска и разбора.
разделение конфиденциального и открытого электронного делопроизводства.
Система конфиденциального электронного информационного хранилища должна предусматривать возможность: гарантированно сохранять документы в массивах хранилища, освободив от этой функции сотрудников;
отслеживать движение документов, выдаваемых сотрудникам, контролировать и обеспечивать их возврат (физические документы) и уничтожение выданных электронных копий;
уменьшить количество документов, одновременно находящихся у исполнителя за счет оперативного их получения из хранилища;
упростить работу с документами, находящимися в хранилище, и сократить временные затраты на их подборку и рассмотрение за счет дружественного интерфейса в интерактивном режиме;
обеспечить режим безопасности документов в процессе их хранения, передачи в хранилище или получения из хранилища за счет использования современных технологий и средств информационной безопасности, а также разграничение доступа пользователей.
Система защиты конфиденциального электронного делопроизводства должна состоять из следующих взаимосвязанных блоков: блок технических средств защиты электронного делопроизводства, связанных с нейтрализацией побочных электромагнитных излучений и наводок;
блок методов защиты электронного делопроизводства, связанных с человеческим фактором и решением кадровых вопросов;
блок организационных методов защиты электронного делопроизводства.
Блок технических (программных) средств защиты электронного делопроизводства должен быть многорубежный. Наиболее эффективной является система, состоящая из 3 рубежей:
1 рубеж - системы защиты информации, предусмотренные программным обеспечением, на которой работает компьютерная сеть (средства защиты Windows, Office и т.д.);
2 рубеж - системы защиты информации, встроенные в саму систему электронного делопроизводства;
3 рубеж - системы защиты информации
