Сущность, задачи и особенности конфиденциального делопроизводства

Конфиденциальное делопроизводство распространяется на документы, которые содержат в себе сведения, составляющие коммерческую и служебную тайну.

Информация, составляющая коммерческую или служебную тайну не существует сама по себе. Она отображается в различных носителях, которые могут ее сохранять, накапливать, передавать. С их помощью осуществляется и использование информации.

В ГОСТ 5092296 «Защита информации. Основные термины и определения» содержится следующее определение носителя: «Носитель информации- физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов».

Из этого следует, во-первых, что материальные объекты – это не только то, что можно увидеть или потрогать, но и физические поля, а также мозг человека, во – вторых, что информация в носителях отображается не только символами, т.е. буквами, цифрами, знаками, но и образами в виде рисунков, чертежей, схем, других знаковых моделей, сигналами в физических полях,. Техническими решениями в изделиях, техническими процессами в технологии изготовления продукции.

Таким образом, коммерческая и служебная тайна являются своего рода собирательным понятием, включающим различные носители с соответствующей информацией, и защита этих видов тайны в итоге сводится к защите ее носителей.

Очень часто путают саму информацию и её носитель. Такая путаница приводит к непониманию сути проблемы и, следовательно, к невозможности её решить. Поэтому следует чётко представлять себе, где информация, а где её материальный носитель.

Информация – вещь нематериальная. Это сведения, которые зафиксированы (записаны) тем или иным расположением (состоянием) материального носителя, например, порядком расположения букв на странице или величиной намагниченности ленты.

Носителем информации может быть любой материальный объект. И наоборот – любой материальный объект всегда несёт на себе некую информацию (которая, однако, далеко не всегда имеет для нас значение). Например, книга как совокупность переплёта, бумажных листов, и типографской краски на них является типичным носителем информации.

Чтобы отличать информацию от её носителя, надо твёрдо помнить, что информация – это сугубо нематериальная субстанция. Всё, что является материальным объектом, информацией быть не может, но только лишь её носителем. В том же примере с книгой и листы, и знаки на них – только носитель; информация же заключена в порядке расположения печатных символов на листах. Радиосигнал – тоже материальный объект, поскольку является комбинацией электрических и магнитных полей (с другой точки зрения – фотонов), поэтому он не является информацией. Информация в данном случае – порядок чередования импульсов или иных модуляций указанного радиосигнала.

Материя и информация неотделимы друг от друга. Информация не может существовать сама по себе, в отрыве от материального носителя. Материя же не может не нести информации, поскольку всегда находится в том или ином определённом состоянии.

Теперь перейдём к более конкретному рассмотрению. Хотя любой материальный объект – носитель информации, но люди используют в качестве таковых специальные объекты, с которых информацию удобнее считывать.

Традиционно используемым носителем информации является бумага с нанесёнными на ней тем или иным способом изображениями.

Поскольку в наше время основным средством обработки информации является компьютер, то и для хранения информации используются в основном машинно-читаемые носители. Ниже приводится полный список известных типов машинных носителей с их качественными характеристиками.

• Жёсткий магнитный диск, ЖМД, НЖМД (hard disk, HD). Применяется как основной стационарный носитель информации в компьютерах. Большая ёмкость, высокая скорость доступа. Иногда встречаются модели со съёмным диском, который можно вынуть из компьютера и спрятать с сейф.
• Гибкий магнитный диск, ГМД (floppy disk, FD) или дискета (diskette). Основной сменный носитель для персональных компьютеров. Небольшая ёмкость, низкая скорость доступа, но и стоимость тоже низкая. Основное преимущество – транспортабельность.
• Лазерный компакт-диск (CD, CD-ROM). Большая ёмкость, средняя скорость доступа, но отсутствует возможность записи информации. Запись производится на специальном оборудовании.
• Перезаписываемый лазерный компакт-диск (CD-R, CD-RW). В одних случаях возможна только запись (без перезаписи), в других - также ограниченное число циклов перезаписи данных. Те же характеристики, что и для обычного компакт-диска.
• DVD-диск. Аналогичен CD-ROM, но имеет более высокую плотность записи (в 5-20 раз). Имеются устройства как только для считывания, так и для записи (перезаписи) DVD.
• Сменный магнитный диск типа ZIP или JAZZ. Похож на дискету, но обладает значительно большей ёмкостью.
• Магнитооптический или т.н. флоптический диск. Сменный носитель большой ёмкости.
• Кассета с магнитной лентой – сменный носитель для стримера (streamer) – прибора, специально предназначенного для хранения больших объёмов данных. Некоторые модели компьютеров приспособлены для записи информации на обычные магнитофонные кассеты. Кассета имеет большую ёмкость и высокую скорость записи-считывания, но медленный доступ к произвольной точке ленты.
• Перфокарты – в настоящее время почти не используются.
• Перфолента – в настоящее время почти не используется.
• Кассеты и микросхемы ПЗУ (read-only memory, ROM). Характеризуются невозможностью или сложностью перезаписи, небольшой ёмкостью, относительно высокой скоростью доступа, а также большой устойчивостью к внешним воздействиям. Обычно применяются в компьютерах и других электронных устройствах специализированного назначения, таких как игровые приставки, управляющие модули различных приборов, принтеры и т.д.
• Магнитные карты (полоски). Маленькая ёмкость, транспортабельность, возможность сочетания машинно-читаемой и обычной текстовой информации. Кредитные карточки, пропуска, удостоверения и т.п.
• Существует большое количество специализированных носителей, применяемых в различных малораспространённых приборах. Например, магнитная проволока, голограмма.

Типы материальных объектов как носителей информации различны. Ими могут быть магнитные и оптические диски, фото-, кино-, видео- и аудио пленки, различные виды промышленной продукции, технологические процессы и др. Но наиболее массовым типом являются носители на бумажной основе. Информация в них фиксируется рукописным, машинописным, электронным, типографским способами в форме текста, чертежа, схемы, рисунка, формулы, графика, карты и т.д. Такая информация ФЗ «Об информации, информатизации и защите информации» отнесена к разряду документированной информации и представляет собой различные виды документов.

Документы, содержащие информацию, составляющую коммерческую и служебную тайну, принято называть конфиденциальными, а процессы их изготовления и организацию работы с ними – конфиденциальным делопроизводством.

Организация и технология конфиденциального делопроизводства не регламентированы государственными нормативными актами.

Их должен определять обладатель конфиденциальных документов, учитывая специфику деятельности предприятия. Однако при этом необходимо руководствоваться определенными нормами и правилами работы с конфиденциальными документами, обеспечивающими нужный уровень функционирования предприятия, сохранность документов и конфиденциальность, содержащейся в них информации.

По уровню доступности документы подразделяются на две категории: общедоступные и с ограниченным доступом. Общедоступными являются открытые документы. К документам с ограниченным доступом относятся документ, работа с которыми может производиться по специальному разрешению уполномоченных на то лиц.

Документирование открытой информации и организации работы с открытыми документами входят в сферу действия открытого делопроизводства. Документы с ограниченным доступом относятся к сфере

деятельности не одного, а нескольких типов делопроизводства, в зависимости оттого, какому виду тайны относится содержащаяся в документах информация.

Документы, содержащие государственную тайну, относятся к сфере секретного делопроизводства. Документы, содержащие личную и различные подвиды профессиональной тайны, являются предметом соответствующих типов специального делопроизводства.

Конфиденциальное делопроизводство распространяется на документы, содержащие коммерческую и служебную тайну. При этом к документам, составляющим служебную тайну, отнесены только документы с грифом «Для служебного пользования», т.к. документы, содержащие коммерческую тайну других субъектов, должны обрабатываться и защищаться в режиме коммерческой тайны. Объединение конфиденциальных документов, содержащих коммерческую и служебную тайну, одним делопроизводством обусловлено тем, что эти документы почти полностью идентично по технологическим процедурам их составления, обработки, обращения, хранения и защиты.

Конфиденциальное делопроизводство следует определять как деятельность, обеспечивающую документирование конфиденциальной информации, организацию работы с конфиденциальными документами и защиту содержащейся в ней информации. При этом под документированием информации понимается процесс подготовки и изготовления документов, под организацией работы с документами – их учет, размножение, прохождение, исполнение, отправление, классификация, систематизация, подготовка для архивного хранения, уничтожение, режим хранения и обращения, проверки наличия.

Конфиденциальное делопроизводство в целом базируется на тех же принципах, что и открытое делопроизводство, но в то же время имеет отличия, обусловленные конфиденциальностью документированной информации.

Эти отличия касаются сферы конфиденциального делопроизводства и охватываемых им видов работ с документами.

По сфере деятельности открытое делопроизводство распространяется на управленческие действия и включает в основном управленческие документы. Конфиденциальное делопроизводство в силу условий работы с конфиденциальными документами распространяется как на управленческую, так и на различные виды производственной деятельности, включает не только управленческие, но и научно-технические документы (научно-исследовательские, проектные, конструкторские, технологические и др.). Кроме того, конфиденциальное делопроизводство распространяется не только на официальные документы, но и на их проекты, различные рабочие записи, не имеющие всех необходимых реквизитов, но содержащие информацию, подлежащую защите.

По видам работ конфиденциальное делопроизводство отличается от открытого, с одной стороны, большим их количеством, с другой – содержанием и технологией выполнения многих видов. Помимо этого, третья составляющая конфиденциального делопроизводств – защита содержащейся в конфиденциальных документах информации – вообще не предусмотрена в определении открытого делопроизводства, хотя определяемая собственником часть открытой информации должна защищаться от утраты.

Конфиденциальная информация должна защищаться и от утраты, и от утечки.

Термин «утечка конфиденциальной информации», вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления, к тому же он закрепился в научной литературе и нормативных документах. Утечка конфиденциальной информации предоставляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного ряда лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа, независимо оттого, работают или не работают такие лица на данном предприятии.

Утрата и утечка конфиденциальной документированной информации обусловлены уязвимостью информации. Уязвимость информации следует понимать как ее доступность для дестабилизирующих воздействий, т.е. таких воздействий, которые нарушают установленный статус информации. Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц).

Уязвимость документированной информации – понятие собирательное. Оно не существует вообще, а проявляется в различных формах. К таким формам, выражающим результаты дестабилизирующего воздействия на информацию, относятся:

· хищение носителя информации или отображенной в нем информации (кража)

· потеря носителя информации (утеря);

· несанкционированное уничтожение носителя информации (разрушение);

· искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация);

· блокирование информации (распространение, раскрытие).

Термин «разрушение» употребляется главным образом применительно к информации на машинных носителях.

Существующие варианты названий: модификация, подделка, фальсификация – не совсем адекватны термину «искажение», они имеют нюансы, однако суть их одна и та же – несанкционированное частичное или полное изменение состава первоначальной информации.

Блокирование информации в данном контексте означает блокирование доступа правомочных пользователей, а не злоумышленников.

Разглашение информации является формой проявления уязвимости только конфиденциальной информации.

Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со сторон источников воздействия.

Такими источниками могут быть люди, технические средства обработки и передачи информации, средства связи, стихийные бедствиями др.

Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранение информации, ввод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.

Реализация форм проявления уязвимости документированной информации приводит или может привести к двум видам уязвимости – утрате или утечке информации.

К утрате конфиденциальной документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.

К утечке конфиденциальной документированной информации приводит ее разглашение. В литературе и даже в нормативных документах термин «утечка конфиденциальной информации» нередко заменяется или отождествляется с терминами: «разглашение конфиденциальной информации», «распространение конфиденциальной информации». Такой подход не является правомерным. Разглашение или распространение конфиденциальной информации означает несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем-то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). «Может произойти» не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть и «прихвачен»мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит. Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющим к ней доступа. Имелось немало случаев, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенным к этой информации лицами с целью «подсидки», причинения вреда коллеге.

Такие носители, как правило, уничтожались лицами похитившими их. Но в любом случае потеря и хищение конфиденциальной информации если и не приводит к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно определить, во-первых, сам факт разглашения или хищения конфиденциальной информации при сохранности носителя информации у ее собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.
Конфиденциальное делопроизводство шире открытого и по своим задачам. Если задачей открытого делопроизводств является обеспечение управленческой деятельности, то конфиденциальное делопроизводство должно осуществлять решение двух задач:

1) документационное обеспечение всех видов конфиденциальной деятельности;

2) защита документированной информации, образующейся в процессе конфиденциальной деятельности.

Сущность конфиденциального делопроизводств обуславливает его организационные и технологические особенности, к числу основных из которых относятся:

· письменное нормативное закрепление общей технологии документирования, организации работы с документами и их защиты;

· жесткое регламентирование состав издаваемых документов и содержащейся в них информации, в том числе на стадии подготовки черновиков и проектов документов;

· обязательный поэкземплярный и полистный учет всех, без исключения, документов, проектов, черновиков;

· максимально необходимая полнота регистрационных данных о каждом документе;

· фиксация прохождения и местонахождения каждого документа;

· проведение систематических проверок наличия документов;

· разрешительная система доступа к документам и делам, обеспечивающая правомерное и санкционированное ознакомление с ними;

· жесткие требования к условиям хранения документов и обращения с ними, которые должны обеспечивать сохранность и конфиденциальность документированной информации;

· регламентация обязанностей лиц, допущенных к работе с конфиденциальной документированной информацией, по ее защите;

· персональная и обязательная ответственность за учет, сохранность документов и порядок обращения с ними.

Особенностью конфиденциального делопроизводства является и своеобразное переплетение некоторых функций, которые на первый взгляд как бы взаимоисключают друг друга. В частности, функциями по реализации задачи документационного обеспечения конфиденциальной деятельности являются создание документов, необходимых и достаточных для такой деятельности, предоставление каждому пользователю всех документов, требующихся для выполнения должностных обязанностей, а параллельными им функциями по реализации защиты конфиденциальной информации – предотвращение необоснованного издания и рассылки документов, исключение необоснованного ознакомления с документами.

На самом деле применительно к документированию это означает, что конфиденциальная деятельность должна обеспечиваться минимальным количеством документов при сохранении полноты и достоверности информации, применительно к организации документооборота – предоставление пользователям всех необходимых документов, но только тех, которые действительно требуются для выполнения должностных обязанностей.

Особенности конфиденциального делопроизводства одновременно выступают и в качестве требований к нему.

Документирование конфиденциальной информации включает определение состава внутренних и отправляемых документов и их изготовление.

Документирование конфиденциальной информации является важнейшей составной частью конфиденциального делопроизводства, поскольку от количества, состава и правильности оформления документов зависят качество и эффективность управленческой и производственной деятельности, достоверность и юридическая сила документов, трудоемкость их обработки и качество организации. Объем и характер создаваемых документов влияют и на организацию работы по их защите. Кроме того, в процессе документирования создается документальная база, раскрывающая историю предприятия.

Одна из особенностей конфиденциального делопроизводства - жесткое регламентирование состава издаваемых документов.

Документ является потенциально существующим источником утечки информации. Поэтому конфиденциальные документы должны издаваться только при действительной необходимости. При этом решение задач конфиденциальной деятельности должно обеспечиваться минимальным количеством документов при сохранении полноты необходимой информации.

Установление состава издаваемых конфиденциальных документов направлено не только на предотвращение необоснованного их издания, но и на исключение избыточной конфиденциальной информации в них, определение количества их экзкмпляров, адресатов, которым они должны отправляться, т.к. не вызванная действительной необходимостью рассылка конфиденциальных документов также приводит к утечке информации. Для придания документу юридической силы необходимо установить должностные лица, которые должны подписывать, визировать и утверждать тот или иной документ. Состав документированной конфиденциальной информации зависит от компетенции и функции предприятия, характера его деятельности, взаимосвязей с другими предприятиями, порядка разрешения вопросов. Такой состав закрепляется перечнями издаваемых предприятиям конфиденциальных документов, раздельно по документам, отнесенным к служебной и коммерческой тайне. Но эти перечни должны разрабатываться на основе и в рамках перечней сведений, составляющих коммерческую и служебную тайну. вызвано это тем, что по существующим нормам сначала определяются сведения, составляющие тот или другой вид тайны. Эти сведения могут быть зафиксированы как в документах, так и в других носителях: памяти человека, базе данных ЭВМ, выпускаемой продукции, технологических процессах, физических полях и др. Поэтому только после определения состава всех конфиденциальных свведений можно установить те их них, которые должны документироваться. Таким образом, определения состава издаваемых конфиденциальных документов должно начинаться с разработки перечня сведений, составляющих коммерческую или служебную тайну.

Переченьсведений, составляющих коммерческую тайну, разрабатывается для каждого предприятия самим предприятием - обладателем информации. Это вытекает из действующего законодательства, которым установлено, что состав и объем таких сведений определяется собственником информации. таким образом, право предпринимателя на состав коммерческойтайны является безусловным. никто не может диктовать ему, какие сведения относить к коммерческой тайне, за исключениеем сведения, которые не могут составлять коммерческую тайну согласно государственным нормативным актам.(закон "О коммерческой тайне" статья 3). Разработкой перечня сведений, составляющих коммерческую тайну, должна заниматься ПДЭК.

После установления состава конфиденциальной информации определяется степень ее конфиденциальности.

Степень конфиденциальности - это показатель уровня закрытости информации. Уровень закрытости зависит от величины ущерба, который может наступить при утечке информации. чем больше этот ущерб, тем выше должна быть и степень конфиденциальности.

В практике работы предприятий применяются от одной до нескольких степеней конфиденциальности информации с различными наименованиями. Наиболее распространенными является деление информации на две степени: конфиденциально и строго конфиденциально. Законом "О коммерческой тайне" установлена одна степень конфиденциальности с названием "Коммерческая тайна".

Правда в Законе это названо не степенью, а грифом "Коммерческая тайна", но суть дела от этого не меняется, поскольку, по определению, гриф конфиденциальности - это реквизит, свидетельствующий о степени конфиденциальности сведений, содержащихся в их носителе и (или) в сопроводительной документации на него.

Следующий этап - определение конкретных сроков конфиденциальности информации либо обстоятельств или событий, при наступлении которых конфиденциальность снимается.

Продолжительность конфиденциальности информации должна соответствовать срокам действия условий, необходимых и достаточных для признания данной информации конфиденциальной в соответствии с законодательством.

Результаты работы оформляются перечнем сведений, составляющих коммерческую тайну.

Перечень подписывается председателем и всеми членами ПДЭК, утверждается и вводится в действие приказом руководителя предприятия. С приказом и перечнем необходимо ознакомить всех сотрудников предприятия, работающих сконфиденциальной информацией. Копии перечня или выписки из него должны быть направлены конфидентам (владельцам) данной коммерческой тайн. Ими являются физические и юридические лица, которым в силу служебного положения или договора либо на ином законном основании известна коммерческая тайна ее обладателя.

Перечни издаваемых конфиденциальных документов могут иметь следующую форму:

1 №

2 Наименование документа

3 Гриф конфиденциальности

4 Срок конфиденциальности

5 Инициалы и фамилии лиц, имеющих право составлять документы

6Инициалы и фамилии лиц, визирующих документы

7 Инициалы и фамилии лиц, имеющих право подписывать и утверждать документы

8 Количество изготовляемых экземпляров документов

9 Куда направляются

10 Примечания

К числу документов, подлежащих утверждению в

соответствии с существующими нормативными актами, относятся: уставы, положения о представительствах, филиалах и структурных подразделениях предприятия, структура, штатное расписание, должностные инструкции, акты проверок (ревизии), сметы, расценки на проведение работ и оказание услуг и некоторые другие.

Если при направлении документов другим предприятиям каждый адресат не должен знать, кому еще направлен данный документ, то в графе 9 по соответствующему виду документа после внесения адресатов делается пометка "раздельное адресирование", означающая, что на каждом экземпляре документа должен проставляться лишь адресат, которому направляется данный экземпляр. Графу 10 следует использовать (при необходимости) для указания периодичности составления документов, а также для пометки о проставлении оттиска печати на соответствующих документах.