Защищенный документооборот

 

Документооборот как объект защиты представляет собой сово­купность (сеть) каналов распространения документированной кон­фиденциальной информации по потребителям в процессе управлен­ческой и производственной деятельности.

Движение документированной информации нельзя рассматри­вать только как механическое перемещение документов по инстан­циям, как функцию почтовой доставки корреспонденции адресатам. Основной характеристикой такого движения является его техноло­гическая комплексность, т.е. соединение в единое целое управленче­ских, делопроизводственных и почтовых задач, определяющих в со­вокупности смысл перемещения документа.

При движении документов (в том числе электронных) по ин­станциям создаются потенциальные возможности утраты этой ин­формации за счет расширения числа источников, обладающих цен­ной информацией.

Угрозы документам в документопотоках включают в себя:

кражу (хищение), утерю документа или его отдельных частей (приложений, экземпляров, листов, вклеек, вставок, черновиков, редакций и т.п.);

копирование бумажных и электронных документов, фото-, ви­део-, аудиодокументов и баз данных;

подмену документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;

тайное или разрешенное ознакомление с документами и базами данных, запоминание и пересказ информации злоумышленнику;

дистанционный просмотр документов и изображений дисплея с помощью специальных технических средств;

ошибочные действия персонала при работе с документами (на­рушение разрешительной системы, порядка обработки документов, правил обращения с документами и т.п.);

случайное или умышленное уничтожение ценных документов и баз данных, их несанкционированная модификация, искажение и фальсификация;

считывание данных в чужих массивах за счет работы с остаточ­ной информацией на копировальной ленте, бумаге, дисках ЭВМ;

маскировка под зарегистрированного пользователя;

утечка информации по техническим каналам при обсуждении и диктовке текста документа, изготовлении документов.

Главным направлением защиты документированной информа­ции (документов) от всех видов угроз является формирование защи­щенного документооборота и использование в обработке и хранении документов технологической системы, обеспечивающей безопас­ность информации на любом типе носителя. За счет этого достига­ется возможность контроля конфиденциальной информации в ее источниках и каналах распространения.

Помимо общих для документооборота принципов защищенный документооборот базируется на ряде дополнительных принципов:

персональной ответственности сотрудников за сохранность но­сителя и тайну информации;

ограничении деловой необходимости доступа персонала к доку­ментам, делам и базам данных;

операционном учете документов и контроле за их сохраннос­тью в процессе движения, рассмотрения, исполнения и использо­вания;

жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала.

В крупных предпринимательских структурах с большим объе­мом документов в потоках защищенность документооборота дости­гается за счет:

формирования самостоятельных, изолированных потоков кон­фиденциальных (грифованных) документов и, часто, дополнитель­ного разбиения их на изолированные потоки в соответствии с уров­нем конфиденциальности (уровнем грифа) перемещаемых докумен­тов;

использования централизованной автономной технологической системы обработки и хранения конфиденциальных документов, изо­лированной от системы обработки других документов;

организации самостоятельного подразделения (службы) конфи­денциальной документации или аналогичного подразделения, вхо­дящего в состав службы безопасности, аналитической службы фир­мы.

В предпринимательских структурах с небольшим составом штат­ных сотрудников и объемом обрабатываемых документов (например, в малом бизнесе), а также в структурах, основная масса документов в которых является конфиденциальной (например, в банках, страхо­вых компаниях), конфиденциальные документы могут не выделять­ся из общего документопотока и обрабатываться в рамках единой технологической системы. Подразделение конфиденциальной доку­ментации в таких предпринимательских структурах обычно не со­здается. Функции централизованной обработки и хранения конфи­денциальных документов возлагаются на управляющего делами, ре­ферента или иногда опытного секретаря-референта фирмы.

При любом варианте построения защищенного документообо­рота предпринимаемые для безопасности информации меры не долж­ны увеличивать сроки движения и исполнения документов.

Одним из важнейших требований к защищенному документо­обороту является избирательность в доставке и использовании пер­соналом ценной информации.

Избирательность предназначена не только для обеспечения опе­ративности в получении пользователем ценной информации, но и ограничения в доставке ему той информации, работа с которой ему разрешена в соответствии с его функциональными обязанностями. В основе избирательности в доставке и использовании конфиденци­альных документов лежит действующая в фирме разрешительная (разграничительная) система доступа персонала к конфиденциаль­ной информации, документам, делам и базам данных. Система в данном случае предусматривает целенаправленное дробление кон­фиденциальной информации между сотрудниками на составные эле­менты, каждый из которых в отдельности значительной ценности не представляет.

Защита документированной информации в потоках достигается одновременным использованием как разрешительных (ограничи­тельных) мер, так и комплексом технологических процедур и опера­ций, которые входят в систему обработки и хранения документов, обеспечивающую рассмотрение, исполнение, использование и дви­жение документов.

В защищенном документообороте в большинстве случаев ис­пользуется традиционная (ручная, делопроизводственная) техноло­гическая система обработки и хранения конфиденциальных документов. В отдельных случаях автоматизируются (при сохранении традиционного учета документов) справочные и поисковые задачи, контроль исполнения. Технологическая система приобретает сме­шанный характер.

Следует подчеркнуть, что технологические системы обработки и хранения конфиденциальных и открытых документов базируются на единой научной и методической основе. Они едины по структуре. Однако между ними наблюдаются некоторые различия. Так, техно­логическая система обработки и хранения открытых документов (де­лопроизводственная, автоматизированная или смешанная) предназ­начена для решения задач в одной сфере - документационного обес­печения управления.

В свою очередь, технологическая система обработки и хранения конфиденциальных документов решает задачи не только в указан­ной сфере, но и в сфере защиты информации конфиденциальных документов при работе с ними персонала. К этим задачам можно отнести следующие:

предупреждение несанкционированного доступа любого лица к документу, его частям, вариантам, черновикам, копиям;

обеспечение физической сохранности документов и носителей конфиденциальной информации;

обеспечение сохранности тайны фирмы, ценной информации, содержащейся в документах.

Кроме того, технологическая система обработки и хранения кон­фиденциальных документов распространяется не только на управ­ленческую (деловую) документацию, но и на конфиденциальные конструкторские, технологические, научно-технические и другие по­добные документы, документированную информацию, записанную на различных технических носителях. Защита технических носите­лей конфиденциальной информации (машиночитаемых документов) имеет важное значение особенно на внемашинных стадиях их обра­ботки и хранения. Именно на этих стадиях велика вероятность утра­ты носителя, его копирования или уничтожения, подмены и фальси­фикации.

Обработка и хранение конфиденциальных документов на раз­личных стадиях их движения имеет свои особенности.

 

⇐ Предыдущая33343536373839404142Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: