Лекция 2. Требования к оформлению конфиденциальных документов 2.1. Требования к

КД.
2.2. Структура защищаемых документопотоков, состав технологических этапов и операций.
2.3. Технологические

системы защиты и обработки КД.

образом оформленный носитель документированной информации, содержащей сведения ограниченного доступа или

использования, которые составляют интеллектуальную собственность юридического или физического лица.

Для организационно-распорядительных документов (ОРД) состав реквизитов и правила их оформления устанавливает Национальный Стандарт РФ ГОСТ Р 7.0.97-2016. «Система стандартов по информации, библиотечному
и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов».

Чтобы КД имел юридическую силу, он должен быть должным образом оформлен, т. е. иметь соответствующие реквизиты.

реквизитов и границы зон на формате А4 углового бланка

процесс документооборот представляет собой схему (совокупность маршрутов) движения человекочитаемых (традиционных),

машиночитаемых и электронных документов по установленным пунктам их учета, рассмотрения, исполнения и хранения для выполнения творческих, формально-логических и технических процедур и операций.

Документооборот как объект защиты представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации в процессе управленческой и производственной деятельности пользователей (потребителей) этой информации.

доступ постороннего лица к документам, делам и базам данных за

счет его любопытства или обманных, провоцирующих действий, а также случайных или умышленных ошибок персонала фирмы;
утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового вари- анта документа или рабочих записей за счет кражи, утери, уничтожения;
утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам;
подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;
случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;
гибель документов в условиях экстремальных ситуаций.
Для электронных документов угрозы особенно реальны, так как факт кражи информации практически трудно обнаружить. В отношении КИ, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, классифицируются по степени риска следующим образом:
непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, работников службы КД, системных администраторов и других лиц, обслуживающих информационные системы;
кражи и подлоги информации;
стихийные ситуации внешней среды;
заражение вирусами.

защищенного документооборота и использование в обработке и хранении документов специализированной

технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности, как носителя информации, так и самой информации.

дополнительных принципов:

ограничения доступа персонала к документам, делам и базам данных

деловой, служебной или производственной необходимостью;
персональной ответственности должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и доку- ментам;
персональной ответственности каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;
жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала, в том числе первых руководителей.

и технологических приемов, входящих в систему обработки и хранения КД;
нанесения

отличительной отметки (грифа) на чистый носитель КИ или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;
формирования самостоятельных, изолированных потоков КД и часто дополнительного их разбиения на подпотоки в соответствии с уровнем конфиденциальности перемещаемых документов;
использования автономной технологической системы обработки и хранения КД, не соприкасающейся с системой обработки открытых документов;
регламентации движения документов как внутри фирмы, так и между фирмами, т. е. с момента возникновения мысли о необходимости создания документа и до окончания работы с документом и передачи его в архив;
организации самостоятельного ПКД;
перемещения документов между руководителями, исполнителями и иным персоналом только через ПКД.

и первичная обработка поступивших пакетов, конвертов, незаконвертованных документов;
учет поступивших документов

и формирование справочно-информационного банка данных по документам;
предварительное рассмотрение и распределение поступивших документов;
рассмотрение документов руководителями и передача документов на исполнение и технологические участки ПКД;
ознакомление с документами исполнителей, использование или исполнение документов.

Выходной и внутренний документопотоки включают в себя следующие стадии обработки КД:
исполнение документов (этапы: определение уровня грифа конфиденциальности предполагаемого документа, учет носителя будущего документа, составление текста, учет подготовленного документа, его изготовление и издание);
контроль исполнения документов;
обработка изданных документов (экспедиционная обработка документов и отправка их адресатам; передача изданных внутренних документов на исполнение);
систематизация исполненных документов в соответствии с номенклатурой дел, оформление, формирование и закрытие дел;
подготовка и передача дел в ведомственный архив (архив фирмы). В состав всех документопотоков включается также ряд дополнительных стадий обработки КД:
инвентарный учет документов, дел и носителей информации, не включаемых в номенклатуру дел;
проверка наличия документов, дел и носителей информации;
копирование и тиражирование документов;
уничтожение документов, дел и носителей информации.

системой обработки и хранения КД.

Следовательно, защита документированной информации в документопотоках

обеспечивается комплексом разнообразных мер режимного, технологического, аналитического и контрольного характера.

Перемещение документов в процессе выполнения каждой стадии, этапа, процедуры обработки или исполнения сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя КИ.

обработки и хранения КД понимается упорядоченный комплекс организационных и технологических

процедур и операций, обеспечивающих служб и технических средств, предназначенных для практической реализации задач, стоящих перед функциональными элементами (стадиями) документопотока.

Технологическая система обработки и хранения КД решает следующие задачи:
обеспечения документированной информацией управленческих и производственных процессов;
обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности.

процедур и операций по обработке и хранению КД;
учет всех без

исключения КД;
пооперационный учет технологических действий, производимых с традиционным (бумажным) или электронным носителем (в том числе чистым) и документом, учет каждого факта «жизненного цикла» документа;
обязательный контроль вторым работником службы КД правильности выполнения учетных операций;
учет и обеспечение сохранности не только документов, но и учетных форм;
ознакомление или работа с документом только на основании письменной санкции (разрешения) полномочного руководителя, письменного фиксирования всех обращений персонала к документу;
обязательная подпись руководителей, исполнителей и технического персонала при выполнении любых действий с документом в целях обеспечения персональной ответственности сотрудников фирмы за сохранность носителя и конфиденциальность информации;
строгий контроль выполнения персоналом введенных в фирме правил работы с КД, делами и базами данных, обязательными для всех категорий персонала;
систематические (периодические и разовые) проверки наличия документов у исполнителей, в делах, базах данных, на машинных носителях и т. д., ежедневный контроль сохранности, комплектности, целостности и местонахождения каждого КД;
коллегиальность процедуры уничтожения документов, дел и баз данных;
письменное санкционирование полномочным руководителем процедур копирования и размножения бумажных и электронных КД, контроль технологии выполнения этих процедур.

документами и является универсальной.
Система характеризуется:
низкой степенью оперативности доставки документов

потребителям информации,
невысокой эффективностью справочной, поисковой и контрольной работы по документам,
потребностью в значительном количестве персонала, обслуживающего систему

конкретные потребности персонала в КИ
Автоматизированная система, создаваемая ПКД или службе

безопасности, должна, в принципе, обеспечивать:
сокращение значительного объема рутинной работы с документами и числа технических операций, выполняемых персоналом ПКД ручными методами;
реализацию возможности для персонала фирмы работать с электронными документами в режиме безбумажного документооборота;
достаточную гарантию сохранности и целостности информации, регулярного контроля и противодействия попыткам несанкционированного входа в банк данных;
аналитическую работу по определению степени защищенности информации и поиску возможных каналов ее утраты;
единство технологического процесса с режимными требованиями к защите информации (допуск, доступ, регламентация коллегиальности выполнения некоторых процедур, операций и т. п.);
персональную ответственность за сохранность конфиденциальных сведений в машинных массивах и на магнитных носителях вне ЭВМ;
возможность постоянного учета местонахождения традиционного или электронного документа и проверки его наличия и целостности в любое время;
предотвращение перехвата информации из ЭВМ по техническим каналам, наличие надежной охраны помещений, в которых находится вычислительная техника, охрана компьютеров и линии компьютерной связи;
исключение технологической связи единичного компьютера или локальной сети, предназначенных для обработки КД, с сетями, обеспечивающими работу с открытой информацией, исключение использования их линий связи, выходящих за пределы охраняемой зоны (здания, территории)

аналогичными системами, оперирующими общедоступной информацией, имеет ряд принципиальных особенностей:

архитектурно компьютеры,

обрабатывающие значительные объемы КИ, могут объединяться в локальную сеть как в рамках ПКД, так и с охватом руководителей и основных специалистов;
в некрупных фирмах конфиденциальная информация обрабатывается на уровне первого руководителя и его референта на единичном защищенном компьютере, не имеющем выхода в какую-либо локальную сеть;
обязательное наличие иерархической и утвержденной первым руководителем фирмы системы разграничения доступа к информации, хранящейся как в машинных массивах, так и на магнитных носителях вне ЭВМ;
закрепление за каждым пользователем строго определенного состава массивов электронной информации и магнитных носителей;
исключение возможности для пользователя покопаться в базе данных системы;
автоматизированное выполнение пользователями операции справочного и поискового обслуживания, составления и иногда изготовления документов, контроля исполнения документов, работы с электронными документами, факсами и электронными аналогами бумажных документов;
обязательный учет конфиденциальных электронных документов, находящихся на всех магнитных носителях и в машинных массивах, постоянная проверка службой КД реального наличия этих документов на носителях и в массивах, их целостности, комплектности и отсутствия несанкционированных копий;
необходимость исключения технической возможности копирования информации, содержащейся в компьютере (рабочей станции) пользователя, на другие магнитные носители и работы компьютера в комплекте с принтером (изъятие из ЭВМ дисководов и т. п.);
жесткое соблюдение персоналом правил работы с конфиденциальной электронной информацией, в частности правила, которое гласит, что все операции с информацией в компьютере должны быть письмен- но санкционированы полномочным должностным лицом, подотчетны службе КД и протоколироваться в машинном журнале; протоколы под- лежат регулярному контролю и анализу специалистами службы КД или службы безопасности;
изъятие КИ из базы данных компьютера (рабочей станции) по окончании работы с ней (например, в конце рабочего дня, при длительных перерывах в работе и т. п.) и перенос информации на дискеты, под- лежащие сдаче в службу КД.
В настоящее время наиболее широко используется смешанная технологическая система обработки и хранения КД, совмещающая традиционную и автоматизированную технологии.