Право/ Уголовное право и криминология

 

 

 

канд.пед.наук, доцент кафедры креативно-инновационного управления и права Аллахвердиева А.Л.

 

ФГБОУ ВПО «Пятигорский государственный лингвистический университет», Россия

 

 

 

КОНФИДЕНЦИАЛЬНЫЙ ДОКУМЕНТООБОРОТ:

УГРОЗЫ И РИСКИ

 

 

Любая деятельность всегда связана с созданием, использованием и хранением значительных объёмов информации и документов, которые представляют конкретную ценность для организации (фирмы) и подлежат защите от различных видов угроз.

На первом этапе из всего многообразия  ценной информации необходимо выбрать главные элементы информации, отражающие секрет организации (фирмы). Это дает возможность удешевить систему защиты и сделать ее максимально целенаправленной, динамичной и эффективной. Защита всего новшества, включая общеизвестные его составляющие, как правило, желаемого результата не даёт за счёт громоздкости системы защиты и трудности контроля больших объёмов конфиденциальной информации. Массовость засекречивания ведёт к росту штатной численности служб безопасности и, в конечном счёте, к снижению эффективности защиты и утрате информации.

Жизненный цикл документов, содержащих конфиденциальную информацию, в делопроизводстве начинается с момента поступления документа в организацию или с момента его создания и завершается уничтожением документа (проекта документа) или передачей документа на архивное хранение. Движение документов, содержащих конфиденциальную информацию (далее – КД), в организации на протяжении их жизненного цикла называется конфиденциальным документооборотом.

Целью «открытого» документооборота является обеспечение своевременного исполнения документов или их использования. В отличие от «открытого» документооборота конфиденциальный документооборот имеет еще одну цель - защита документов от несанкционированного доступа и предотвращение утечки конфиденциальной информации. По этой причине конфиденциальный документооборот называют еще защищенным документооборотом. Защищенный документооборот - контролируемое движение конфиденциальных документов по регламентированным пунктам обработки в жестких условиях организационного и технологического обеспечения безопасности носителя информации и самой информации. Выполнение задач документационного обеспечения управления подразумевает под собой обеспечение управленческой структуры полной, своевременной и достоверной документной информацией, организацию исполнения и использования документов. При организации защиты конфиденциальных документов эти задачи расширяются и включают:

- предупреждение несанкционированного доступа любого лица к документу, его частям, вариантам, черновикам, копиям;

- обеспечение физической сохранности документов;

- обеспечение сохранности информации, содержащейся в них.

Выполнение этих задач позволяет не только избежать утраты или подмены документов ограниченного доступа, но и предотвратить нарушение режима их конфиденциальности в результате утечки (разглашения) охраняемых сведений, то есть несанкционированного (неправомерного) распространения данной информации среди третьих лиц, не входящих в круг субъектов, имеющих доступ к ней. 

Разглашение любой конфиденциальной информации может привести к вполне ощутимым убыткам для организации. Новейшие информационные технологии, как ни странно, позволяют, с одной стороны защитить документы от их подмены, с другой – осуществить эту подмену на высоком, профессиональном уровне. И это факт. Наиболее часто встречаемыми угрозами являются халатность сотрудников и кража информации. Для предотвращения этого рекомендуется осуществлять документооборот по строго введенным в организации правилам, которые устанавливаются руководителем подразделения конфиденциального делопроизводства. Для этого вводится разрешительная система доступа к ним, персональная и обязательная ответственность за сохранность и учет всех имеющихся документов, а также порядок обращения с ними, проведение систематических проверок на наличие соответствующих документов и дел. 

Для защиты конфиденциальных документов от несанкционированного доступа и несанкционированного распространения недостаточно только мер, предпринимаемых в рамках конфиденциального документооборота. В силу условий работы с документами ограниченного доступа эта деятельность распространяется и на управленческие, и научно-технические документы (научно-исследовательские, проектные, конструкторские, технологические и др.). Соответственно, для работы с ними в организации необходимо разрабатывать специальные правила (инструкции). На это направлена вся система безопасности организации. Однако, независимо от разновидностей конфиденциальных документов, необходимо соблюдать общие требования к порядку работы с ними (требования к порядку движения, ознакомления с документами, передачи их в архив и т.п.) и, в целом, обеспечения сохранности и конфиденциальности защищаемой информации.

Виды угроз конфиденциальных документов в документопотоках организации можно разделить на несколько групп:

1.     Несанкционированный доступ постороннего лица к документам, делам, базам данных за счет его любопытства или обманных, провоцирующих действий, а так же случайных или умышленных ошибок персонала фирмы;

2.     Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;

3.     Утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

4.     Подмена документов, носителей и их отдельных частей с целью фальсификации, а также  сокрытия факта утери, хищения;

5.     Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;

6. Кража (хищение) документа или отдельных его частей, носителя чернового варианта документа (проекта документа) или рабочих записей;

7. Несанкционированное копирование бумажных и электронных документов, запоминание текста документа;

8. Тайное или разрешенное ознакомление сотрудника фирмы с документом и сообщение информации злоумышленнику;

9. Дистанционный просмотр документов и изображений на мониторе персонального компьютера с помощью технических средств;

10. Ошибочные (умышленные или случайные) действия персонала при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами и др.);

11.  Гибель документов в условиях экстремальных ситуаций.

Для электронных документов угрозы особенно реальны, так как факт кражи информации практически трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируется по степени риска следующим образом:

·        Непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;

·        Кражи и подлоги информации;

·        Стихийные ситуации внешней среды;

·        Заражение вирусами.

В соответствии с характером указанных выше угроз формируются задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Таким образом, безопасность – это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов, и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф. Перечисленные проблемы напрямую связаны с информационной безопасностью. Пока что электронные документы – вроде и не документы вовсе, и во многих организациях с ними поступают, как хотят. Часто отсутствует даже элементарный учёт имеющихся в организации программных средств и баз данных, а в результате электронные документы и информация либо утрачиваются, либо их становится невозможно ни найти, ни использовать. Уничтожение увольняющимися сотрудниками «своих» электронных богатств – самое обычное явление, с которым невозможно бороться.

Подводя итог, хочу еще раз отметить, что подход к защите конфиденциальных документов должен быть комплексным. Необходимо трезво оценивать вероятные угрозы и риски и величину возможных потерь от реализации этих угроз. Выбирая методы организации защищенного документооборота, следует искать разумный баланс между необходимостью и возможностью, между безопасностью данных и стоимостью решения по их защите. Обеспечивать защиту документооборота только ради самого факта наличия защиты не только лишено смысла, но и вредно, так как может существенно осложнить деятельность организации с документами и информацией.

Ну и, конечно, ни в коем случае нельзя забывать о главном недостатке любой защиты: абсолютной защиты не бывает, бывает лишь усложнение защиты настолько, чтобы ее взлом стоил дороже, чем защищаемая информация.

Список использованной литературы

1.           ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов.

2.           ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

3.           Алексенцев А.И. Конфиденциальное делопроизводство. – М.: ЗАО «Бизнес-школа «Интел-Синтез». – 2001. – 90-93 с.

4.           Кузнецова Т.В. Делопроизводство (документационное обеспечение управления). 4-е изд. испр. и допол. М: Изд-во ЮНИТИ, 2003 – 322 с.

5.           Организация работы с документами: Учебник / Под ред. проф. Кудряева В.А. – 2-е изд., перераб. и допол. – М.: ИНФРА-М, 2001. – 592 с.

6.           Сабынин В.Н. Организация конфиденциального делопроизводства - начало обеспечения безопасности информации в фирме // Информост-радиоэлектроника и телекоммуникации. - 2001. - № 4. –  с. 17.

7.           Степанов Е.А. Информационная безопасность и защита информации: Учебное пособие // Е.А. Степанов, И.К. Корнеев - М.: ИНФРА-М – 2001 – 107-111с.

8.           Демушкин А.С. Документы и тайна. – М.: ООО «Городец-издат», 2003. – с.131.

9.           Лукашов А.И., Мухин Г.Н. Конфиденциальная информация и коммерческая тайна: правовое регулирование и организация защиты. Мн.: Тесей, 1998. – с.18.

10.       Храмцовская Н.А. Информационная безопасность доку­менто­обо­ро­та с точки зрения специалиста ДОУ (http://eos.ru/eos/134718).

11.       Храмцовская Н.А. Общие проблемы внедрения систем электронного документооборота в отечественном бизнесе (http://www.gdm.ru/meropr/ 181004/book/hramtsovskaya1.shtml).

12.       Сайт Домарева В.В. «Безопасность информационных технологий» (http://www.security.ukrnet.net).