Куняев Н.Н.
Конфиденциальное делопроизводство и защищенный электронный документооборот
Издательство Логос, Москва, 2011 год, 452 страницы.
Содержание
Введение
- Понятие и особенности конфиденциальной информации. Общая характеристика нормативной правовой базы.
- Документирование конфиденциальной информации.
- Организация конфиденциального документооборота.
- Разрешительная система доступа к конфиденциальной информации.
- Составление номенклатуры дел, формирование и оформление конфиденциальных дел.
- Подготовка конфиденциальных документов к архивному хранению или уничтожению.
- Режим конфиденциальности документированной информации.
- Система защищенного электронного документооборота.
Аннотация
Доктриной информационной безопасности России определено, что одной из составляющих национальных интересов Российской Федерации в информационной сфере является защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России. В этих целях необходимо: повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами.
Организация системы защиты информации включает защиту единой информационной сферы (среды) организации. Информационной средой является совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникших при этом общественных отношений. Одним из основных разделов Концепции формирования в Российской Федерации электронного правительства до 2010 года является «Развитие защищенной межведомственной системы электронного документооборота», в котором сказано: «В целях повышения эффективности государственного управления требуется завершить работы по созданию и внедрению защищенной технологической системы межведомственного электронного документооборота, которая должна обеспечить оперативный информационный и документационный обмен. Система межведомственного электронного документооборота создается для осуществления защищенного обмена электронными сообщениями. При этом в переходный период электронные документы предполагается дублировать документами, подготовленными на бумажных носителях».
В Федеральном законе «Об информации, информационных технологиях и о защите информации» определено, что документированная информация – это зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию, или в установленных законодательством Российской Федерации случаях ее материальный носитель. В федеральных органах исполнительной власти документирование информации осуществляется в порядке, устанавливаемом Правительством Российской Федерации. Правила делопроизводства и документооборота, установленные иными государственными органами, органами местного самоуправления в пределах их компетенции, должны соответствовать требованиям, установленным Правительством Российской Федерации в части делопроизводства и документооборота для федеральных органов исполнительной власти.
Документированная информация представляет собой различные виды документов. Существует множество определений понятия «документ». Мы берем за основу определение, данные в Правилах делопроизводства в федеральных органах исполнительной власти, поскольку их возможно применять в любых государственных и негосударственных структурах: «Документ – официальный документ, созданный государственным органом, органом местного самоуправления, юридическим или физическим лицом, оформленный в установленном порядке и включенный в документооборот федеральных органов исполнительной власти».
Под делопроизводством, или документационным обеспечением управления, понимается отрасль деятельности, обеспечивающая документирование и организацию работы с документами, а под документооборотом – движение документов в организации с момента их создания или получения до завершения исполнения или отправки.
Федеральным законом «Об информации, информационных технологиях и о защите информации» определено, что «обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами, устанавливающими условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».
Соответственно, документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, является конфиденциальной документированной информацией, или конфиденциальным документом, за исключением информации, которая составляет государственную тайну, имеющую свой правовой режим. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне. Конфиденциальной информацией (Sensitive information) является информация, требующая защиты. Технологии конфиденциального (защищенного) электронного документооборота являются информационными. Информационные технологии – это процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Технологии обработки, хранения, передачи и защиты информации входят в Перечень технологий, имеющих большое социально-экономическое значение или важное значение для обороны страны и безопасности государства (критические технологии).
Проблемы защиты информации стали более сложными и значимыми в связи с переходом жизненного цикла документированной информации на безбумажную, электронную основу с одновременным применением как «бумажных» технологий делопроизводства и документооборота, так и электронных с использованием автоматизированных информационных систем (АИС). В Федеральном законе «Об информации, информационных технологиях и о защите информации» информационная система определена как совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. В приведенном определении не присутствует основной субъект отношений в области защиты информации – персонал информационной системы. Поэтому вместо термина «информационная система», как правило, используется термин «автоматизированная система», определяемый ГОСТом 34.003–90 как система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Совмещая термины «информационная система» и «автоматизированная система», используют интегрированный термин «автоматизированная информационная система». Конфиденциальная документированная информация (КДИ) составляет одну из основных частей информационных ресурсов организации. Конфиденциальное делопроизводство и документооборот, включая электронный, следует определять как жизненный цикл конфиденциальной документированной информации или сумму технологий, обеспечивающих организацию работы с КДИ и ее защиту. При этом под технологиями конфиденциального делопроизводства понимается процесс подготовки и создания документов, а под технологиями конфиденциального документооборота, включая электронный, – учет, прохождение, исполнение, отправление, классификация, систематизация, разрешительный доступ к информации, хранение, уничтожение, режим хранения и обращения, режим конфиденциальности информации. Конфиденциальное делопроизводство на бумажных носителях в целом базируется на тех же принципах, что и открытое делопроизводство, но в то же время имеет отличия, обусловленные конфиденциальностью информации. Оформление конфиденциальной информации на бумажном носителе должно соответствовать, как и для открытой информации, требованиям основного стандарта по оформлению документов. Однако отличительной особенностью создания и оформления конфиденциальных документов является определение степени их конфиденциальности и проставление грифа ограничения доступа (отметки конфиденциальности) на документе.
Целью технологий открытого и конфиденциального документооборота является обеспечение исполнения и использования документов. Организация исполнения конфиденциальных документов включает в себя оперативное доведение их до исполнителей и обеспечение своевременного и качественного решения содержащихся в них вопросов. В процессе движения документов необходимо создавать условия для их сохранности. В противном случае исключается возможность исполнения и использования этих документов. Вместе с тем особенность конфиденциального документооборота состоит в том, что требуется защита их от несанкционированного к ним доступа с целью предотвращения утечки содержащейся в них информации на всех этапах прохождения документов. Защитные мероприятия охватывают не только саму документированную информацию, но и другие объекты, так или иначе связанные с защищаемой информацией (помещения, технические средства обработки и передачи информации и др.).
Технологии конфиденциального делопроизводства и документооборота во многом совпадают с технологиями организации работы с документированной информацией ограниченного доступа, составляющей государственную тайну, которые определены постановлениями Правительства Российской Федерации, например Постановлением Правительства Российской Федерации от 06.02.2010 № 63 «Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне». Самое главное – это то, что по своей сути они не являются секретными и регулируются общедоступными нормативными правовыми актами о государственной тайне, поэтому данные об этих технологиях приведены в главах с соответствующими ссылками.
Обеспечение сохранности и конфиденциальности документированной информации требует создания и поддержания специальных условий хранения, обработки и обращения документов, гарантирующих надежную защиту как самих документов, так и содержащейся в них информации. Достигается это путем организации специального режима хранения конфиденциальной информации и обращения с ней, установления разрешительной системы доступа, разработки регламентированной технологии ее создания и обработки. При этом под доступом к конфиденциальной информации понимается санкционированное полномочным должностным лицом ознакомление конкретного лица с данной информацией. Права доступа к документам разграничиваются на основе предоставления различных полномочий должностным лицам организации на различных участках технологий делопроизводства и документооборота, в том числе электронного, по приему и отправке, ознакомлению, регистрации, учету, контролю исполнения, качества исполнения, ведению баз данных, редактированию, снятию с контроля, списанию в дело, хранению, использованию и уничтожению.
Требования к конфиденциальному делопроизводству и документообороту, в том числе электронному, обусловливаются организационными и технологическими особенностями, основными из которых являются следующие:
— регламентирование состава создаваемых документов и процессов документирования, в том числе на стадии подготовки черновиков и проектов документов;
— обязательный поэкземплярный и полистный учет всех, без исключения, документов, проектов и черновиков;
— необходимая полнота учетных и регистрационных данных о каждом документе, включая электронные документы (электронные сообщения), циркулирующие в автоматизированной информационной системе;
— фиксация прохождения и местонахождения каждого документа, включая электронные документы (электронные сообщения), циркулирующие в автоматизированной информационной системе;
— регламентация обшей технологии документирования, организации работы с документами и их защиты;
— проведение систематических проверок наличия документов;
— система доступа к документам и делам, включая электронные документы (электронные сообщения), циркулирующие в автоматизированных информационных системах, обеспечивающая правомерное и санкционированное ознакомление с ними;
— основательные требования к условиям хранения документов и обращения с ними, которые должны обеспечивать сохранность и конфиденциальность документированной информации;
— персональная и обязательная ответственность за учет, сохранность конфиденциальных документов и порядок обращения с ними.
Руководство организации в пределах своей компетенции определяет:
— категории должностных лиц, уполномоченных относить информацию (документы) к конфиденциальной;
— круг должностных лиц, имеющих доступ к документам и информации различной степени конфиденциальности;
— порядок снятия отметки конфиденциальности с документов, включая электронные, циркулирующие в АИС, иными словами, системах электронного документооборота;
— организацию защиты информации на бумажном носителе;
— организацию защиты информации, циркулирующей в системах электронного документооборота, а также защиту самих автоматизированных информационных систем.
Правительство Российской Федерации утвердило Положение о системе межведомственного электронного документооборота (МЭД), определяющее взаимодействие федеральных информационных систем электронного документооборота. Под взаимодействием информационных систем электронного документооборота в Положении понимается обмен электронными сообщениями (ведение служебной переписки в электронной форме) между участниками межведомственного электронного документооборота. Система МЭД – федеральная информационная система, обеспечивающая в автоматизированном режиме защищенный обмен электронными сообщениями, в том числе сообщениями, содержащими информацию, отнесенную к сведениям, составляющим служебную тайну. Должностные лица организации, принявшие решение об отнесении документов к информации ограниченного доступа, несут персональную ответственность за обоснованность такого решения и за соблюдения ограничений. Одним из основных принципов правового регулирования является открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации. В отдельных нормативных правовых актах в области защиты информации существуют перечни сведений, которые запрещено относить к какой-либо тайне. За нарушение режима конфиденциальности информации, основных положений работы с конфиденциальными документами, утрату и незаконное их уничтожение, за разглашение конфиденциальных сведений виновные лица, сотрудники и работники организации должны привлекаться к предусмотренной законодательством ответственности.
Контроль за выполнением требований при работе с конфиденциальными документами возлагается на Службу открытого делопроизводства или Службу конфиденциального делопроизводства (если такая предусмотрена в организации), на сотрудников структурных подразделений организации, отвечающих за ведение открытого и конфиденциального делопроизводства, а также на Службу безопасности (если такая служба или ответственное лицо за безопасность также предусмотрены в организации). Контроль за выполнением требований по работе с кадровой документацией – персональными данными работников и сотрудников, также являющимися конфиденциальной информацией, возлагается на Службы кадров и безопасности организации.
Содержание книги отражает последовательность работы с конфиденциальной документированной информацией и базируется на действующих в настоящее время нормативных правовых актах и нормативно-методических документах, стандартах, руководящих документах, а также научных разработках.