Технологические системы защиты и обработки конфиденциальных документов

Под технологической системой обработки и хранения конфи­денциальных, документов понимается упорядоченный комплекс организационных и технологических процедур и операций, обес­печивающих служб и технических средств, предназначенных для практической реализации задач, стоящих перед функциональными элементами (стадиями) документопотока.

Технология обработки и хранения конфиденциальных и открытых документов базируется на единой научной и методической основе, призванной решать задачи обеспечения документированной информацией управлен­ческие и производственные процессы.

Одновременно технологи­ческая система обработки и хранения конфиденциальных доку­ментов решает и другую не менее важную задачу — обеспечение защиты носителей информации и самой информации от потен­циальных и реальных угроз их безопасности.

В отличие от открытых документов к обработке конфиденциаль­ных документов предъявляются следующие серьезные требования:

•централизация всех стадий, этапов, процедур и операций по обработке и хранению конфиденциальных документов;

• учет всех без исключения конфиденциальных документов;

• операционный учет технологических действий, производи­мых с традиционным (бумажным) или электронным носителем (в том числе чистым) и документом, учет каждого факта «жизненного цикла» документа;

• обязательный контроль вторым работником службы КД пра­вильности выполнения учетных операций;

• учет и обеспечение сохранности не только документов, но и учетных форм;

• ознакомление или работа с документом только на основании письменной санкции (разрешения) полномочного руководителя, письменного фиксирования всех обращений пер­сонала к документу;

• обязательная подпись руководителей, исполнителей и тех­нического персонала при выполнении любых действий с документом в целях обеспечения персональной ответственности сотрудников фирмы за сохранность носителя и конфиденциальность информации;

• строгий контроль выполнения персоналом введенных в фирме правил работы с конфиденциальными документами, делами и базами данных, обязательными для всех категорий персонала;

• систематические (периодические и разовые) проверки на­личия документов у исполнителей, в делах, базах данных, на машинных носителях и т.д., ежедневный контроль со­хранности, комплектности, целостности и местонахождения каждого конфиденциального документа;

• коллегиальность процедуры уничтожения документов, дел и баз данных;

• письменное санкционирование полномочным руководителем процедур копирования и размножения бумажных и элект­ронных конфиденциальных документов, контроль техноло­гии выполнения этих процедур.

Технологическая система обработки и хранения конфиденциаль­ных документов распространяется не только на управленческую (деловую) документацию, но и на конструкторские, технологи­ческие, научно-технические и другие аналогичные документы, публикации, нормативные материалы и др., хранящиеся в спе­циальных библиотеках, информационных центрах, ведомствен­ных архивах, документированную информацию, записанную на любом типе носителя информации.

Эволюция типов технологических систем обработки и хране­ния документов тесно связана с научно-техническим прогрессом, достижениями науки и техники в области документирования ин­формации, обработки информационных ресурсов, программиро­вания и вычислительной техники. Наблюдается устойчивая тен­денция замены бумажного носителя информации техническим - магнитным и носителями других типов. Технический носитель дает возможность в определенной степени исключить человека из тех­нологического процесса обработки и хранения документирован­ной информации и создает основу для формирования и развития концепции «электронного (безбумажного) документооборота». Технологические системы обработки и хранения конфиденциаль­ных документов могут быть традиционными, автоматизированными и смешанными.

Традиционная (делопроизводственная) система основывается на ручных методах работы человека с документами и является универсальной. Она надежно, долговременно обеспечивает за­щиту документированной информации как в обычных, так и в экстремальных ситуациях. В связи с этим стадии защищенного документооборота в большинстве случаев технологически реали­зуются методами и средствами именно традиционной системы обработки и хранения конфиденциальных документов, а не ав­томатизированной.

Система одинаково эффективно оперирует как традиционными (бумажными) документами, так и документами машиночитаемыми, факсимильными и электронными. Трудоемкость множества технических и формально-логических процедур и операций обычно снижается за счет включения в технологи­ческий процесс организационной и вычислительной техники, что в целом не меняет тип системы. Вместе с тем система харак­теризуется низкой степенью оперативности доставки докумен­тов потребителям информации, невысокой эффективностью спра­вочной, поисковой и контрольной работы по документам, по­требностью в значительном количестве персонала, обслуживаю­щего систему. Традиционная технологическая система обработки и хранения конфиденциальных документов лежит в основе широко известного понятия «делопроизводство» или «документационное обеспечение управления» (в его узком, но часто встречающемся в научной ли­тературе понимании как синонима делопроизводства).

С другой сто­роны, делопроизводство часто рассматривается в качестве органи­зационно-правового и технологического инструмента построения документационного обеспечения управления, с чем, на наш взгляд, трудно не согласиться. Ведение конфиденциального делопроизводства централизуется в едином подразделении аппарата управления — службе КД, фун­кционально не связанной с подразделением, обрабатывающим от­крытые документы. В некрупных предпринимательских структурах функция централизованной обработки и хранения конфиденци­альных документов возлагается на управляющего делами, менед­жера по безопасности или даже секретаря-референта (референта) первого руководителя.

Служба КД может включать с себя следующие функциональ­ные группы (участки деятельности):

• группу учета поступивших документов;

• группу учета носителей конфиденциальной информации;

• группу учета и обработки изданных документов;

• группу учета номенклатурных дел — архив фирмы;

• группу инвентарного учета документов;

• бюро изготовления документов;

• копировально-множительную группу;

• контрольно-методическую группу.

Службу конфиденциальной документации необходимо распо­лагать в помещении, смежном с приемной первого руководителя фирмы. В этом помещении ведется обработка и хранение всех кон­фиденциальных документов. Правом входа в рабочее помещение службы обладает только первый руководитель фирмы и руководи­тель службы безопасности. Как отмечалось выше, конфиденциальные документы доста­точно часто не входят в сферу управленческой (деловой) доку­ментации и относятся к технической документации (конструкторской, технологической, научно-исследовательской и т.д.), кото­рая по своей сути чаще всего содержит действительно ценные све­дения, изобретения и ноу-хау фирмы.

Несмотря на специфический характер этой документации, она также обрабатывается и хранится в службе КД - группе технической документации. В предпринима­тельских структурах, имеющих незначительный объем конфиден­циальных документов или в которых основная масса документов является конфиденциальной (например, в банках, страховых компа­ниях), обработка конфиденциальных документов может осуще­ствляться в подразделении или сотрудником, ведущим делопроизводство по открытым документам.

Не следует забывать о том, что преимущества и эффективность традиционных (часто простей­ших) делопроизводственных систем в небольших фирмах далеко не исчерпаны и их надежность в отношении гарантированной защиты конфиденциальной информации достаточно велика.

Автоматизированная технология (как и традиционная, дело­производственная) является обеспечивающей и обслуживает кон­кретные потребности персонала в конфиденциальной информации.

Автоматизированная система, создаваемая в службе КД или службе безопасности, должна в принципе обеспечивать:

• сокращение значительного объема рутинной работы с доку­ментами и числа технических операций, выполняемых персоналом службы ручными методами;

• реализацию возможности для персонала фирмы работать с элек­тронными документами в режиме безбумажного документо­оборота:

• достаточную гарантию сохранности и целостности информа­ции, регулярного контроля и противодействия попыткам несанкционированного входа в банк данных;

• аналитическую работу по определению степени защищен­ности информации и поиску возможных каналов ее утраты;

• единство технологического процесса с режимными требова­ниями к защите информации (допуск, доступ, регламента­ция коллегиальности выполнения некоторых процедур, операций и т.п.);

• персональную ответственность за сохранность конфиденци­альных сведений в машинных массивах и на магнитных носителях вне ЭВМ;

• возможность постоянного учета местонахождения традицион­ного или электронного документа и проверки его наличия и целостности в любое время;

• предотвращение перехвата информации из ЭВМ по техни­ческим каналам, наличие надежной охраны помещений, в которых находится вычислительная техника, охрана компьюте­ров и линии компьютерной связи;

• исключение технологической связи единичного компьютера или локальной сети, предназначенных для обработки конфиденциальных документов с сетями, обеспечивающими ра­боту с открытой информацией, исключение использования их линий связи, выходящих за пределы охраняемой зоны (здания, территории).

Автоматизированная технологическая система обработки и хра­нения конфиденциальных документов по сравнению с аналогич­ными системами, оперирующими общедоступной информацией, имеет ряд принципиальных особенностей: • архитектурно компьютеры, обрабатывающие значительные объемы конфиденциальной информации, могут объединяться в локальную сеть как в рамках службы КД, так и с охва­том руководителей и основных специалистов; однако в лю­бом варианте локальная сеть базируется на главном ком­пьютере (сервере), находящемся у системного администра­тора службы КД; автоматизированные рабочие места, ра­бочие станции могут быть увязаны в локальную сеть только по вертикали;

• в некрупных фирмах конфиденциальная информация обра­батывается на уровне первого руководителя и его референта на единичном защищенном компьютере, не имеющем вы­хода в какую-либо локальную сеть;

• обязательное наличие иерархической и утвержденной пер­вым руководителем фирмы системы разграничения доступа к информации, хранящейся как в машинных массивах, так и на магнитных носителях вне ЭВМ; охват системой разгра­ничения доступа не только персонала фирмы, но и персона­ла службы КД;

• закрепление за каждым пользователем строго определенного состава массивов электронной информации и магнитных но­сителей; исключение возможности для пользователя «поко­паться» в базе данных системы;

• автоматизированное выполнение пользователями операций справочного и поискового обслуживания, составления и иногда изготовления документов, контроля исполнения докумен­тов, работы с электронными документами, факсами и элек­тронными налогами бумажных документов;

• сохранение информационной базы учетной функции (в пра­вовом понимании, а также как элемента формирования стра­хового массива информации) и функции персональной от­ветственности за традиционной технологической системой с использованием учетных карточек и иных форм (описей), изготовляемых не вручную, а автоматически — на принтере ЭВМ; автоматическая допечатка в указанные формы изме­нений и дополнений при движении документов;

• обязательный учет конфиденциальных электронных доку­ментов, находящихся на всех магнитных носителях и в ма­шинных массивах, постоянная проверка службой КД реаль­ного наличия этих документов на носителях и в массивах, их целостности, комплектности и отсутствия несанкциони­рованных копий;

• необходимость исключения технической возможности ко­пирования информации, содержащейся в компьютере (рабочей станции) пользователя, на другие магнитные носите­ли и работы компьютера в комплекте с принтером (изъятие из ЭВМ дисководов и т.п.);

• жесткое соблюдение персоналом правил работы с конфиден­циальной электронной информацией, в частности правила, которое гласит, что все операции с информацией в компью­тере должны быть письменно санкционированы полномоч­ным должностным лицом, подотчетны службе КД и прото­колироваться в машинном журнале; протоколы подлежат ре­гулярному контролю и анализу специалистами службы КД или службы безопасности;

• изъятие конфиденциальной информации из базы данных ком­пьютера (рабочей станции) по окончании работы с ней (на­пример, в конце рабочего дня, при длительных перерывах в работе и т.п.) и перенос информации на дискеты, подлежа­щие сдаче в службу КД.

Рассмотрение и исполнение электронных конфиденциальных до­кументов и электронных аналогов бумажных документов разреша­ется только при наличии сертифицированной системы защиты ком­пьютеров и локальной сети, включающей комплекс программно-аппаратных, криптографических и технических мер защиты базы дан­ных, компьютеров и линий связи. Помещения, в которых конфи­денциальная информация обрабатывается на ЭВМ, должны иметь защиту от технических средств промышленного шпионажа, надеж­ную круглосуточную охрану и пропускной режим.

Кроме того, следует учитывать что при автоматизированной обработке объективно резко увеличивается количество носителей (источников), содержа­щих конфиденциальные сведения: традиционный бумажный доку­мент, разнообразные машинограммы карточек, описей документов, многочисленные записи информации на магнитных носителях и ви­зуальная информация на экране дисплея. Недостатком обработки ин­формации на ЭВМ является также необходимость постоянного дуб­лирования информации на нескольких носителях с целью исключе­ния опасности ее утраты или искажения по техническим причинам.

Указанные выше особенности усложняют систему, но без их соблюдения нельзя гарантировать сохранность конфиденциальной информации, эффективность защиты информационных массивов в ЭВМ от несанкционированного доступа, разрушения, копиро­вания и подмены. Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и внемашинной зашиты кон­фиденциальных сведений. В этой связи важное актуальное значе­ние имеет защита технических носителей конфиденциальной ин­формации (машиночитаемых документов) на внемашинных ста­диях их учета, обработки и хранения.

Именно на этих стадиях особенно велика вероятность утраты машиночитаемого документа. Подобная проблема несущественна для носителей, содержащих от­крытую информацию, В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне ма­шины, в настоящее время эффективно используются зарекомен­довавшие себя принципы и методы обеспечения безопасности до­кументов в традиционной технологической системе. В настоящее время наиболее широко используется смешанная тех­нологическая система обработки и хранения конфиденциальных документов, совмещающая традиционную и автоматизированную технологии.

Выборочно автоматизируются: справочная и поисковая работа по бумажным документам, процедура составления и изго­товления документов и учетных форм, контроль исполнения, сер­висные задачи. Остальные стадии и процедуры выполняются в русле традиционной, делопроизводственной технологии (распределение бумажных документов, их рассмотрение, исполнение, оперативное и архивное хранение документов). В силу специфики обрабатывае­мых сведений о документах и самих документов автоматизирован­ные системы делопроизводственной ориентации имеют в большин­стве случаев информационно-справочный характер.

Недостаток сме­шанной технологии состоит в неполном использовании преиму­ществ и функциональных возможностей компьютерной техноло­гии, отчего сохраняются рутинные делопроизводственные опера­ции, которые мешают совершенствовать документооборот.

Следовательно, традиционные и автоматизированные техно­логические системы обработки и хранения конфиденциальных документов представляют собой сложные комплексы, решающие задачи как документационного обеспечения управленческой и про­изводственной деятельности необходимой информацией, так и одновременно достаточно надежной защиты документов от несан­кционированного доступа и других возникающих угроз безопас­ности информационных ресурсов фирмы.

Дата добавления: 2014-01-07; Просмотров: 1023; Нарушение авторских прав?; Мы поможем в написании вашей работы!