Теоретические и методические основы рационального построения защищенного документооборота в государс...
Теоретические и методические основы рационального построения защищенного документооборота в государс...
МИНИСТЕРСТВО
ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИБИРСКИЙ
ИНСТИТУТ ПРАВА, ЭКОНОМИКИ И УПРАВЛЕНИЯ
КАФЕДРА
ОРГАНИЗАЦИИ И ТЕХНОЛОГИИ ЗАЩИТЫ ИНФОРМАЦИИ
КУРСОВАЯ
РАБОТА
по
документоведенью на тему:
«Теоретические
и методические основы рационального построения защищенного документооборота в
государственных (негосударственных) структурах»
Выполнил
студент ЗИ-О4-1
_____________
В.В. Куницын
Научный
руководитель
______________Е.Ю. Крячко
Иркутск
2005
Содержание
Введение
|
3
|
1 Теоретические основы построения защищенного документооборота
|
5
|
1.1 Краткая теоретическая справка о документообороте
|
5
|
1.2 Сохранение важнейших документов организации
|
7
|
1.3 Внедрение систем электронного документооборота
|
9
|
1.4 Системы электронного документооборота
|
12
|
1.5 Уничтожение документов с истекшими сроками
хранения
|
15
|
2 Методические основы построения и организации
защищенного документооборота
|
17
|
2.1 Организация документооборота
|
17
|
2.2 Организация конфиденциального делопроизводства -
начало обеспечения безопасности информации
|
19
|
Заключение
|
24
|
Определения и сокращения
|
25
|
Список литературы
|
26
|
Введение
На сегодняшний
момент проблема построения защищенного документооборота, как в государственных,
так и в негосударственных структурах стоит очень остро.
Когда в
литературе – особенно в изданиях, специализирующихся в области информационных
технологий, - заходит речь о безопасном документообороте и информационной
безопасности, то обычно имеются в виду вопросы защиты систем электронного
документооборота и соответствующих каналов связи от преступного вмешательства
при помощи технических и программных средств. На самом деле проблема защиты
информационных ресурсов организации гораздо более сложная и многоплановая, и
для её успешного решения необходимо использовать не только силы и средства,
имеющиеся в распоряжении службы информационных технологий, но и возможности и
опыт, накопленный другими службами организации. В стандарте ISO/IEC 17799 по
управлению информационной безопасностью принят именно такой подход: должны
защищаться все информационные ресурсы организации, в этой работе должны
участвовать как минимум все сотрудники организации, и для достижения требуемого
уровня безопасности должны активно применяться кадровая политика, разнообразные
организационные меры, обучение и переподготовка персонала и т.д.
Сейчас в
организациях вопросами управления и защиты информации занимается целый ряд
служб. Служба ИТ традиционно обеспечивает работоспособность, защищённость и
резервирование электронных систем, в то время как служба документационного
обеспечения - работает в основном с бумажными документами. Кроме того, есть ещё
юридическая служба, служба внутреннего контроля, а порой и отдельная служба
информационной безопасности. Различная подчинённость и статус этих служб,
незнакомство с методами работы друг друга, отсутствие единой терминологии
становятся серьёзной помехой в решении поставленных перед ними задач.
В этой работе
будет сделана попытка рассмотреть безопасный документооборот не сточки зрения
службы ИТ, а с точки зрения ДОУ. Ввиду того, что, как было сказано выше,
проблема информационной безопасности в основном рассматривается как защита
электронного документооборота. А другие аспекты практически не учитываются.
1 Теоретические основы построения документооборота
1.1 Краткая
теоретическая справка о документообороте
Закон «Об
информации, информатизации и защите информации» определяет информацию как
«сведения о лицах, предметах, фактах, событиях, явлениях и процессах,
независимо от формы их представления». Стандарт ISO 15489 по управлению
документацией определяет информационный материал (document) как
«зафиксированную информацию или объект, который можно рассматривать как единое
целое». Документ (record), согласно этому стандарту, это «информация посланная,
полученная, и сохраняемая организацией или физическим лицом в качестве
свидетельства и сведений, во исполнение правовых обязательств или в ходе
деловой деятельности».
Все документы
являются информационными материалами (информацией), но далеко не все
информационные материалы имеют статус документа. Основной признак документа
состоит в том что, содержание, обстоятельства создания и форма представления
информационного материала фиксируются в определённый момент времени, и далее
хранятся в неизменном виде. Кроме того, документ либо фиксирует какие-либо
факты и события, либо служит основанием для принятия деловых решений и
совершения действий. Следует отметить, что в настоящее время грань между
документами и не-документами постепенно стирается, особенно в связи с
ужесточением законодательных и нормативных требований к документообороту.
Информационные
ресурсы организации включают в себя информацию и документы в различной форме –
как бумажные, так и электронные, а также информацию и знания в головах сотрудников.
Последняя составляющая очень важна, и опыт событий 11 сентября 2001 года
показал, что, даже если всю информацию удалось сохранить, без ключевых
сотрудников она часто оказывается для организации бесполезной.
Стандарт ISO/IEC
17799 определяет информационную безопасность как обеспечение
конфиденциальности, целостности и наличия информации. Надо сказать, что все эти
вопросы в отношении информации на «традиционных» носителях (таких, как каменные
плиты, глиняные таблички, папирус, пергамент, бумага, фото- и киноплёнка,
магнитофонные звукозаписи, грампластинки, микроплёнки, микрофиши и т.п.) службы
ДОУ как решали в течении тысячелетий, так и продолжают решать сейчас. Раздел
12.1.3 стандарта «Защита документов организации» вообще представляет собой не что
иное, как описание важнейших функций службы ДОУ, но уже в отношении документов
всех видов, включая электронные. Что касается защиты электронных документов и
электронного документооборота, - пока за это отвечает служба ИТ.
Разнообразные
виды угроз информационной безопасности организации можно разделить на несколько
групп.
1. Первую группу составляют
преступные действия разного рода, такие как мошенничество, шпионаж, саботаж,
вандализм, незаконное уничтожение или искажение документов и т.п.
2. Во вторую группу входят
действия или бездействие, приводящие к не созданию необходимых документов и
информационных материалов, к несоблюдению законодательных и нормативных
требований к делопроизводству и документообороту, в особенности к срокам
хранения и порядку уничтожения документов, - в результате чего возможны штрафы,
проигрыш гражданских исков, и даже уголовное преследование. Сюда же относятся
неумышленное раскрытие персональной информации и информации, защищённой как
интеллектуальная собственность.
3. Третья группа рисков – это
разного рода катастрофические явления, как естественные, так и обусловленные
деятельностью человека. Наиболее распространённые из них – пожар, повреждение
водой и отключение электроэнергии.
Таким образом,
безопасность – это не только защита от преступных посягательств, но и
обеспечение сохранности (особенно электронных) документов и информации, а также
меры по защите важнейших документов, и обеспечению непрерывности и/или
восстановлению деятельности в случае катастроф.
1.2 Сохранение
важнейших документов организации
Обеспечение
сохранности важнейших документов организации - одно из современных направлений
в сфере информационной безопасности. К важнейшим относят те документы и
материалы – на всех видах носителей, и не обязательно подлинники, – которые
потребуются немедленно, в первые минуты, часы и дни после чрезвычайного
происшествия, а также те, безвозвратная утрата или повреждение которых
подрывает (по юридическим, нормативным и эксплуатационным причинам) возможность
организации продолжать свою деятельность. Важнейшие документы – это не
обязательно ценные документы постоянного срока хранения. Так, к ним относятся
списки телефонов и адресов сотрудников компании, списки поставщиков, способных
в случае необходимости предоставить помещения и оборудование, необходимое для
восстановления деятельности, и т.п.
Интересно
отметить, что, согласно стандартам, те важнейшие документы, которые могут
потребоваться немедленно, должны храниться в основном в бумажном виде, с тем,
чтобы люди могли с ними работать даже тогда, когда вся техника вышла из строя.
Вопросы защиты
важнейших документов выдвинулись на первый план после теракта 11 сентября 2001
года, когда были разрушены башни Всемирного торгового центра (ВТЦ) в Нью-Йорке.
Не только американцы, но и представители делового мира из других стран
внимательно изучали приобретенный опыт восстановления деловой деятельности.
Самыми уязвимыми оказались бумажные документы – практически все они погибли.
Большинство располагавшихся в ВТЦ компаний смогли, благодаря хорошо налаженному
резервированию в удаленных центрах, практически полностью сохранить электронные
документы и информацию. Те из них, кто позаботился о подготовке планов на
случай непредвиденных обстоятельств и о тренировках персонала, либо вовсе не
прерывали своей деятельности, переключив её на резервные центры управления,
либо смогли быстро вернуться к работе.
Пример: Merrill
Lynch, одна из ведущих мировых финансовых компаний, в результате терактов 11
сентября 2001 года в Нью-Йорке потеряла свою штаб-квартиру, расположенную в
одной из башен Всемирного торгового центра. Были задеты еще несколько зданий
компании – всего события затронули 9000 сотрудников.
«Аварийные
группы» компании сразу же приступили к действиям и организовали эвакуацию. План
на случай чрезвычайного положения сработал, персонал был благополучно выведен
из здания в течение нескольких минут. Пока шла эвакуация, критически-важные
функции, в соответствии с планом, были переданы запасному командному центру в
Нью-Джерси - и все сотрудники корпорации, благодаря плану, знали, куда звонить
и передавать информацию. В результате деловая деятельность в расположенных в
разных точках планеты офисах компании продолжалась в обычном режиме. Сотрудники
поврежденных офисов были переведены на другие объекты, принадлежащие компании,
и к 17 сентября 8000 сотрудников уже вернулись к работе.
Руководство
компании считает, что благодаря проработанным планам продолжения деятельности и
проведенным накануне широкомасштабным учениям, фирма была исключительно хорошо
подготовлена, - что позволило не прерывать нормальной деловой деятельности и
свести потери к минимуму. Немало способствовали этому и ранее проведенные
компанией мероприятия во избежание «ошибки 2000 года».
В нашей стране
защите важнейших документов, как составной части плана действий в
непредвиденных ситуациях, тоже стали уделять внимание, как сами организации,
так и контролирующие органы. Например, план ликвидации последствий
непредвиденных обстоятельств включен Центральным Банком Российской Федерации
(ЦБ) в перечень обязательных документов кредитной организации, как один из
документов, регулирующих функции системы внутреннего контроля.
Как и многие
другие задачи, проблема защиты важнейших документов решается только в том
случае, когда служба ДОУ, отвечающая главным образом за «бумажную» работу, и
служба информационных технологий, контролирующая сегодня электронные документы
и материалы, объединяются в единое целое и действуют совместно.
1.3 Внедрение
систем электронного документооборота
Россия в данном
вопросе отстает, и очень существенно. При внедрении систем электронного
документооборота возникает большое количество проблем. Это и не удивительно -
мы живем в эпоху революционных изменений в области делопроизводства и
документооборота, когда новое соседствует со старым, новейшие технологии
внедряются в условиях законодательства, ориентированного на бумажный
документооборот. На сегодняшний день существуют две группы проблем, которые
необходимо решать на государственном уровне:
Трудности,
связанные с недостаточной поддержкой государством внедрения СЭД. Пока
государство и суды не признают электронные документы, бизнес может использовать
СЭД только для поддержки оперативной деятельности. Государство до сих пор не
справилось с относительно простой задачей формирования инфраструктуры,
необходимой для использования ЭЦП, а уж о более фундаментальных вещах, таких,
как единая техническая политика в отношении СЭД, используемых в государственных
учреждениях, и говорить не приходится. Справедливости ради нужно отметить, что
есть и положительные примеры, особенно стоит отметить активные усилия Банка
России и МНС в использовании современных технологий и в постепенном переходе на
электронный документооборот.
Большая группа
проблем связана с отсутствием нормативной базы, необходимой для полноценного
использования электронных документов. Так, не установлен порядок признания
юридической силы электронных документов государственными органами и судами;
отсутствует официально признаваемая методика работы с электронными документами,
обеспечивающая признание их юридической силы; отсутствуют методики экспертизы
ценности электронных документов, передачи их на архивное хранение, уничтожения
электронных документов, работы с грифованными электронными документами, и т.д.
Все перечисленные
проблемы напрямую связаны с информационной безопасностью. Пока что электронные
документы – вроде и не документы вовсе, и во многих организациях с ними
поступают, как хотят. Часто отсутствует даже элементарный учёт имеющихся в
организации программных средств и баз данных, а в результате электронные
документы и информация либо утрачиваются, либо их становится невозможно ни
найти, ни использовать. Уничтожение увольняющимися сотрудниками «своих»
электронных богатств – самое обычное явление, с которым невозможно бороться.
Пример: Немецкие
Федеральные архивы при объединении Германии получили электронные документы из
государственных архивов ГДР. Это были разнообразные базы данных:
сельскохозяйственная статистика, персональные данные членов компартии, сведения
о трудовой деятельности и т.д. Федеральные архивы сумели сохранить только часть
этих документов, и то с большим трудом, поскольку вспомнили о них и задумались
об организации их длительного хранения только через 10 лет. К этому моменту во
всей Германии не нашлось необходимого оборудования и программного обеспечения,
а также специалистов, которые могли бы на таком оборудовании работать.
Ещё одна грань
информационной безопасности – сохранение аутентичности и целостности
электронных документов. Сейчас с электронным документом в суд не пойдешь, а о
будущем мало кто задумывается. Но если сегодня не начать архивировать
электронные документы в строгом соответствии с известными международными
стандартами, то завтра, когда электронные документы будут признаны на деле,
организация не сможет доказать подлинность своих документов. Для компаний,
ведущих международную деятельность, это уже «горящая» проблема, поскольку, к
примеру, в большинстве развитых стран сообщения электронной почты признаются
деловыми документами и могут быть предъявлены в качестве доказательства в суде.
Проблема
обеспечения аутентичности электронных документов особенно обостряется, если их
нужно хранить долго – более 5-7 лет. В этом случае, вследствие устаревания
компьютерных систем и/или форматов данных, может потребоваться перенос
документов в другую компьютерную систему и/или преобразование в новые форматы
(миграция). Мало того, что миграция может «влететь в копеечку», - каждый её шаг
должен быть тщательно задокументирован, с тем, чтобы аутентичность документов
не могла быть подвергнута сомнению.
Но что говорить о
миграции – даже при обычном сканировании документов для помещения их в
электронный архив требуется не только документировать все действия и обеспечить
техническую защиту полученных образов документов, но и избегать операций,
которые могут поставить аутентичность документов под сомнение. В зарубежной
судебной практике уже есть примеры, когда суды отказывались принимать документы
из электронных архивов на том основании, что после сканирования образы были
отредактированы (убиралась «грязь»), а владельцы архива не могли доказать, что
при редактировании не были внесены значимые изменения в документ.
1.4 Системы
электронного документооборота
Весьма
распространённое использование терминов поставщиками математического
обеспечения может привести к крупным неприятностям и финансовым потерям, если
компания, не разобравшись, закупит систему, не соответствующую её потребностям.
В наше время «системой электронного документооборота» называют всё, что угодно:
системы управления образами документов («электронный архив»), системы
управления деловыми процессами (workflow-системы), электронно-информационные
системы (Electronic Document Management System - EDMS), и наконец, «настоящие»
системы электронного документооборота (Electronic Records Management System -
ERMS). Решение о покупке системы часто принимает высшее руководством компании
совместно с руководителем службы ИТ, и они далеко не всегда знают, какие
функциональные возможности необходимы для службы документационного обеспечения
управления. Ошибка оборачивается убытками на многие тысячи долларов для
покупателя, и определённой потерей репутации для фирмы-поставщика.
«Настоящая»
система электронного документооборота обязана, в частности, иметь следующие
характеристики:
1. После регистрации
информационного материала в качестве документа, его автор уже не имеет
возможности как-либо изменить или уничтожить документ.
2. Документу устанавливается
срок хранения, соответствующий требованиям законодательства и контролирующих
организаций. Средства системы должны позволять «запрограммировать» все
встречающиеся в отечественных нормативных актах варианты правил вычисления
срока хранения (в течение заданного отрезка времени, до определённого
наступления события, комбинированные, и т.д.)
3. Система должна защищать
хранимые в ней документы от каких-либо изменений. Уничтожать электронные
документы могут только специально уполномоченными лица – сотрудники служб ДОУ
или ИТ, в рамках плановой работы по экспертизе ценности и уничтожению
документов с истекшими сроками хранения.
Взаимоотношение
ДОУ и ИТ
При внедрении
систем электронного документооборота на уровне отдельной организации особую
остроту приобретает проблема взаимоотношений и взаимопонимания между службой ИТ
с одной стороны, и службой ДОУ, юридическим отделом и деловыми подразделениями
– с другой.
Прежде всего, это
проблема «социального статуса». ИТ-специалисты стоят на более высокой ступени в
иерархии организации, имеют большую зарплату, пользуются гораздо большим
влиянием на руководство. В коммерческих структурах денег на развитие
современных технологий не жалеют, в то время как отделы ДОУ получают средства
на свое развитие по остаточному принципу. Кроме того, специалисты ДОУ жалуются
на то, что служба ИТ определяет требования к управлению документами, не
консультируется с ДОУ при выборе и закупке систем электронного
документооборота.
Не секрет, что
большинство представителей ИТ считают службу ДОУ пережитком «старины глубокой»,
и вообще чисто затратным подразделением.
Пример: В
интервью журналу Intelligent Enterprise (N19, октябрь 2004 года) о проблемах
внедрения систем электронного документооборота, один специалист ИТ так описывал
своих коллег из службы ДОУ: «Сами сотрудники не пылали желанием использовать
новые технологии. Многие из них прекрасно существовали в системе, где
фактически единственной их функцией была переноска папок с этажа на этаж».
Любопытно,
однако, что именно продолжающееся внедрение информационных технологий в процесс
документооборота, в сочетании с усиливающимся давлением со стороны
законодательства и контролирующих органов, потихоньку приводит к изменению
положения ДОУ в лучшую сторону – поскольку ряд знаний и навыков, обычных для
сотрудников нашей службы и остро необходимых сейчас в электронном
документообороте, не распространены среди специалистов ИТ. К ним относятся:
1. понимание жизненного цикла
документа, который может включать такие стадии, как создание, временное
хранение в соответствии с требованиями законодательства и контролирующих
инстанций, экспертизу ценности, постоянное хранение или уничтожение в
установленном порядке;
2. понимание того, что вся
информация организации должна управляться по единым правилам;
3. привычка веси строгий учёт
документов, их выдачи и возврата;
4. в отличие от большинства
программистов, сотрудники ДОУ вынуждены продумывать свою работу как минимум на
пять лет вперёд (столько времени, по закону, должны храниться документы
бухгалтерского учёта). Они понимают, что нужно не просто сохранить
соответствующие электронные документы, но сохранить их так, чтобы их
целостность и аутентичность могла быть доказана.
В апреле 2004
года консультационная фирма Forrester Consulting по заказу международной
ассоциации управляющих документацией и информацией ARMA провела опрос, в ходе
которого сотрудникам ИТ, ДОУ и деловых подразделений был задан ряд вопросов
связанных с внедрением электронного документооборота. Анализ результатов
показал, что именно представители ДОУ лучше других видят проблемы, возникающие
при внедрении. Особенное беспокойство вызвало то, что сотрудники ИТ и деловых
подразделений плохо понимают роль электронного документооборота в обеспечении
соответствия деятельности организации законодательству и нормативным
требованиям.
Конечно,
специалисты ДОУ и сами не без греха. Во многих организациях ДОУ не стремиться
взять на себя «свою» долю работы по управлению электронными документами и часто
ведет себя как вспомогательная служба, а не как неотъемлемая часть деловых
процессов. Специалисты ДОУ недостаточно активно и жёстко отстаивают свои
принципы, свою терминологию, плохо рекламирует и «продают» себя, надеясь, что
все и так знают, чем и как они занимаются. Очень плохо, если они к тому же не
хотят знакомиться с основами ИТ, не желают и не умеют работать с электронными
документами.
Для успешного
внедрения электронных систем и их надёжной защиты необходимо тесное
сотрудничество специалистов ИТ, ДОУ и других заинтересованных сторон: деловых
подразделений, юридической службы, службы внутреннего контроля. В перспективе,
одним из разумных решений может быть переход службы ДОУ в подчинение ИТ, и
создание единого подразделения, управляющего всеми информационными ресурсами в
организации. Подобные единые структуры уже существуют как за рубежом, так и в
ряде организаций нашей страны.
1.5 Уничтожение
документов с истекшими сроками хранения
Возможность
вполне законно уничтожить документы по истечении срока хранения - чрезвычайно
важный элемент всей работы по обеспечению информационной безопасности. Это не
только возможность уменьшить риск утечки конфиденциальной информации,
фактически, - это амнистия старых «грешков» организации, при условии, что у неё
хорошо налажены делопроизводство и документооборот.
В бумажном
делопроизводстве, уничтожение документов и предшествующий этап экспертизы их
ценности считаются наиболее сложными видами работ, требующими как высокой
профессиональной квалификации, так и умения взаимодействовать практически со
всем коллективом организации. С электронными документами нужно решать все те же
проблемы, что и с бумажными, плюс ещё несколько – порой очень трудно разыскать
и уничтожить все имеющиеся копии электронного документа (включая те, что
хранятся на резервных лентах), к тому же, как выяснилось на практике,
гарантированное уничтожение электронных документов требует физического
уничтожения носителей этих документов, для чего требуются специальные
технические средства.
2 Методические
основы построения и организации защищенного документооборота
2.1 Организация
документооборота
Установление порядка движения
документов или управление документацией организации заключается в создании
условий, обеспечивающих хранение необходимой документной информации, ее быстрый
поиск и снабжение ею потребителей в установленные сроки и с наименьшими затратами.
Она включает:
·
организацию
документооборота;
·
создание
информационно-поисковых систем по документам;
·
контроль
их исполнения;
·
подготовку
документов к передаче на архивное хранение.
Документооборот — это движение
документов с момента их получения или создания до завершения исполнения,
отправки адресату или сдачи их на хранение.
Документооборот в
организациях осуществляется в виде потоков документов, циркулирующих между
пунктами обработки и создания информации (руководители организации и
структурных подразделений, специалисты) и пунктами технической обработки
собственно документов: экспедиция, машбюро, копировально-множительная служба и
другие. В организации эти потоки документов разделяются на направляемые руководству,
в подразделения, конкретным исполнителям. В подразделениях также формируются
документопотоки, которые в результате образуют единый поток отправляемой
корреспонденции. Кроме того, в организациях, как правило, циркулируют
документы, созданные в ней и не предназначенные к выходу за ее пределы — потоки
внутренней документации.
По определению
"Движение документов с момента их получения или создания до завершения
исполнения, отправки адресату или сдачи на хранение" образует документооборот.
Соответственно масштабам движения документов можно выделить документооборот
конкретного должностного лица, структурного подразделения, организации,
отрасли управления, государства в целом.
Действующие нормативные акты
и методические пособия, в том числе и «Государственная система
документационного обеспечения управления. Основные положения. Общие требования
к документам и службам документационного обеспечения» (ГСДОУ), исходя из
прагматических соображений, рассматривают в качестве объекта регулирования только
документооборот организации в целом и соответственно потоки входящих,
внутренних и исходящих документов.
Порядок движения документов
в организации вторичен по отношению к структуре организации и внутреннему
распределению обязанностей, в том числе неформальной системе субординационных
отношений. Однако это не значит, что система организации документооборота не
поддается самостоятельному регулированию и нормированию. ГСДОУ требует
закрепления порядка движения документов внутри организаций в схемах, разрабатываемых
службой делопроизводства и утверждаемых руководством организаций. В подобные
схемы должны быть включены все, в том числе и компьютерные пункты обработки
документной информации и, если они поддаются нормированию, сроки прохождения и
обработки документов. Самостоятельные схемы разрабатываются для различных
категорий документов: входящих, исходящих, внутренних, приказов по личному
составу и по основной деятельности и т.д. В эти схемы включаются, как правило,
этапы создания документов от момента написания черновика. В случае утверждения
схем движения документов руководством организации они приобретают нормативную
силу.
Документооборот, или порядок
движения документов в организации, можно разделить на следующие этапы:
1. Экспедиционная обработка
документов, поступающих в организацию.
2. Предварительное
рассмотрение документов службой документационного обеспечения.
3. Рациональное движение
документов внутри организации.
4. Обработка исполненных и
отправляемых документов.
2.2 Организация
конфиденциального делопроизводства - начало обеспечения безопасности информации
Правильная
организация конфиденциального делопроизводства в фирме является составной
частью комплексного обеспечения безопасности информации и имеет важное значение
в достижении цели ее защиты. Как известно, специалисты, занимающиеся в области
информационной безопасности утверждают, что порядка 80% конфиденциальной
информации находится в документах делопроизводства. Поэтому вопросы
конфиденциального документооборота в фирме несомненно играют важную роль в
достижении ею экономических успехов. В данной статье даны некоторые
рекомендации, позволяющие упорядочить работу в фирме с конфиденциальными
документами.
Всю информацию в
фирме (организации) можно разделить на две большие группы:
·
открытую;
·
с
ограниченным доступом.
·
В свою
очередь информация с ограниченным доступом может быть:
·
государственной
тайной;
·
конфиденциальной
информацией.
А, следовательно,
и документы, содержащие ту или иную информацию подразделяются на секретные и
конфиденциальные. Причем, секретные документы могут быть с грифом
"Секретно", "Совершенно секретно", "Особой
важности". Конфиденциальные документы соответственно с грифами
"Коммерческая тайна", "Банковская тайна" и т.д. В настоящее
время видов конфиденциальной информации (а, следовательно, и возможных
грифованных документов) насчитывается более 30. Что в целом не создает
благоприятной атмосферы в смысле обеспечения их безопасности. По этой причине
количество видов конфиденциальной информации в перспективе, надо полагать,
уменьшится. Каждый вид конфиденциальных документов имеет реквизиты.
По своей природе конфиденциальные
документы бывают:
·
нормативно-методические
(НМД);
·
руководящие
(РД);
·
распорядительные
(РПД);
·
информационно-справочные
(ИСД);
·
организационные
(ОД);
·
финансово-бухгалтерские
(ФБД);
·
кадровые
(по личному составу) КД.
Правила
оформления реквизитов регламентированы ГОСТом "Унифицированная система
организационно-распорядительной документации. Требования к оформлению
документов". (ГОСТ Р 6.30-97). Конфиденциальные документы, содержащие
коммерческую тайну, должны иметь гриф ограничения доступа к документу. Он
располагается в правом верхнем углу, например: коммерческая тайна (или
сокращенно КТ).
Конфиденциальные
документы должны обрабатываться в конфиденциальном делопроизводстве фирмы, либо
в общем делопроизводстве, специально назначенным должностным лицом,
ответственным за конфиденциальные документы. Конфиденциальные документы должны
храниться в отдельном помещении в запираемых и опечатываемых шкафах. Допускается
хранение конфиденциальных документов в общем делопроизводстве. Но обязательно
они должны находиться отдельно от других дел делопроизводства.
В зависимости от
назначения конфиденциальные документы подразделяются на:
·
входящие;
·
исходящие;
·
внутренние.
Прием входящих
конфиденциальных документов осуществляется сотрудником конфиденциального
делопроизводства.
При этом
проверяется:
·
количество
листов;
·
количество
экземпляров;
·
наличие
приложений (если они указаны в сопроводительном письме).
В случае отсутствия
в пакете (конверте) некоторых перечисленных документов - составляется акт в 2-х
экземплярах. Один экземпляр акта отправляется в адрес отправителя.
Регистрация
конфиденциальных документов производится в журналах регистрации, либо на
карточках.
На каждом
зарегистрированном документе должен проставляться штамп, в котором указывается:
·
наименование;
·
регистрационный
номер;
·
дата
поступления.
После регистрации
документы передаются руководству фирмы для принятия решения. Руководитель после
рассмотрения документа определяет исполнителя и дает указания по исполнению
документа. Эти указания оформляются на самом документе в виде резолюции.
С резолюцией
руководителя конфиденциальный документ передается исполнителю под расписку в
журнале регистрации входящих конфиденциальных документов.
По завершении
работы над документом на нем проставляется отметка о его исполнении и
направлении в дело. После чего документ сотрудником конфиденциального
делопроизводства подшивается в дело.
Решение о
дальнейшем использовании конфиденциального документа определяется его значением
и практической ценностью. В зависимости от этого конфиденциальные документы
могут:
·
использоваться
в дальнейшем;
·
передаваться
в архив на хранение;
·
уничтожаться.
Все эти действия
должны выполняться с соблюдением требований к конфиденциальным документам.
Работа с
конфиденциальными исходящими документами включает следующие этапы:
·
разработка
проекта документа;
·
согласование
документа;
·
подписание
документа;
·
регистрация
документа;
·
отправка
документа.
Проект исходящего
конфиденциального документа разрабатывается исполнителем документа в 2-х
экземплярах и по необходимости согласовывается с другими специалистами фирмы.
Далее проект документа предоставляется на подпись руководителю фирмы. После
подписания документа, он регистрируется сотрудником конфиденциального
делопроизводства в журнале (карточке) регистрации исходящих конфиденциальных
документов. Рассылка конфиденциальных документов осуществляется согласно
подписанных руководителем списков с обязательным указанием учетных номеров
отправленных документов.
Выдача и возврат
конфиденциальных документов должны своевременно отражаться в журнале учета и
выдачи конфиденциальных.
При получении
конфиденциального документа сотрудник должен сверить номер полученного
документа с его номером в журнале, проверить количество листов и расписаться за
полученный документ. При возврате конфиденциального документа сотрудник
конфиденциального делопроизводства должен сверить номер этого документа с
номером в журнале, проверить количество листов документа и в присутствии
сотрудника, возвращающего документ поставить в журнале (в соответствующей
графе) свою подпись и дату возврата документа.
Все дела с
конфиденциальными документами и журналы их учета вносятся в номенклатуру дел
фирмы.
По окончании
каждого года руководителем фирмы создается комиссия, которая должна:
·
проверить
наличие конфиденциальных документов;
·
определить
конфиденциальные документы для архивного хранения;
·
определить
конфиденциальные документы, подлежащие уничтожению.
Архивное хранение
конфиденциальных документов производится в опечатанных коробках, в помещениях,
исключающих несанкционированный доступ посторонних лиц. На конфиденциальные
документы, отобранные к уничтожению комиссией, составляет акт. Акт утверждается
руководителем фирмы.
В случае утери
конфиденциального документа руководителем фирмы создается комиссия, которая
проводит расследование по факту утраты данного документа. По результатам работы
комиссии руководителем фирмы принимается решение о привлечении к
ответственности лиц виновных в утрате конфиденциального документа.
Заключение
При написании
курсовой автор постарался учесть как можно больше аспектов по построению
защищенного документооборота и представить ряд требований, которые позволяли построить
систему безопасного обращения документов в любой структуре как государственной,
так и коммерческой. К сожалению в рамках курсовой работы почто не возможно
представить все стороны защиты документов на предприятии ввиду небольшого
формата и узости темы.
Автор считает, что обеспечение
информационной безопасности требует решения многочисленных проблем, и их,
безусловно, не под силу в одиночку решить ни службе ИТ, ни службе ДОУ, ни
какой-либо другой. Только координированная работа всех служб под единым
руководством, при понимании и поддержке, как со стороны высшего руководства,
так и персонала организации может привести к успеху. Особенно, важна интеграция
ИТ и ДОУ в единую службу управления документами и информацией, при этом
сотрудники ДОУ должны понимать и активно использовать современные технологии в
своей работе, а сотрудники ИТ – «теплее» относиться к потребностям деловых
подразделений организации и к вопросам, связанным с соблюдением законодательных
и нормативных требований к документообороту.
Определения и сокращения
ИТ - информационные
технологии
ДОУ - документационное
обеспечение
СЭД - система электронного документооборота
ЭЦП – электронно-цифровая подпись
СКЗИ - средств криптографической
защиты информации
ЭД - электронная документация
Список использованной литературы
1. ГОСТ 16487-83.
Делопроизводство и архивное дело. Термины и определения. - М., Издательство
стандартов, 1983.
2. ГОСТ Р 6.30-97
Унифицированные системы документации. Унифицированная система
организационно-распорядительной документации. Требования к оформлению
документов.-М., Издательство стандартов, 1997.
3. Кузнецова Т. В.
Делопроизводство. -М: Изд-во ЮНИТИ, 2001. – с 322
4. Сабынин В.Н Организация
конфиденциального делопроизводства - начало обеспечения безопасности информации
в фирме//Информост-радиоэлектроника и телекоммуникации -2001.- №4 – с 17
5. Стандарт предприятия. Порядок
подготовки, согласования и издания приказов, указаний и других
организационно-распорядительных документов. СТП 2069131-01-98. 1998.
6. http://www.security.ukrnet.net/
– авторский сайт Домарева В.В. «Безопасность информационных технологий»
|