Теоретические и методические основы рационального построения защищенного документооборота в государс...

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИБИРСКИЙ ИНСТИТУТ ПРАВА, ЭКОНОМИКИ И   УПРАВЛЕНИЯ

КАФЕДРА ОРГАНИЗАЦИИ И ТЕХНОЛОГИИ ЗАЩИТЫ ИНФОРМАЦИИ

КУРСОВАЯ РАБОТА

по документоведенью на тему:

«Теоретические и методические основы рационального построения защищенного документооборота в государственных (негосударственных) структурах»

Выполнил студент ЗИ-О4-1

_____________ В.В. Куницын

Научный руководитель

______________Е.Ю. Крячко

Иркутск 2005

Содержание

Введение

На сегодняшний момент проблема построения защищенного документооборота, как в государственных, так и в негосударственных структурах стоит очень остро.

Когда в литературе – особенно в изданиях, специализирующихся в области информационных технологий, - заходит речь о безопасном документообороте и информационной безопасности, то обычно имеются в виду вопросы защиты систем электронного документооборота и соответствующих каналов связи от преступного вмешательства при помощи технических и программных средств. На самом деле проблема защиты информационных ресурсов организации гораздо более сложная и многоплановая, и для её успешного решения необходимо использовать не только силы и средства, имеющиеся в распоряжении службы информационных технологий, но и возможности и опыт, накопленный другими службами организации. В стандарте ISO/IEC 17799 по управлению информационной безопасностью принят именно такой подход: должны защищаться все информационные ресурсы организации, в этой работе должны участвовать как минимум все сотрудники организации, и для достижения требуемого уровня безопасности должны активно применяться кадровая политика, разнообразные организационные меры, обучение и переподготовка персонала и т.д.

Сейчас в организациях вопросами управления и защиты информации занимается целый ряд служб. Служба ИТ традиционно обеспечивает работоспособность, защищённость и резервирование электронных систем, в то время как служба документационного обеспечения - работает в основном с бумажными документами. Кроме того, есть ещё юридическая служба, служба внутреннего контроля, а порой и отдельная служба информационной безопасности. Различная подчинённость и статус этих служб, незнакомство с методами работы друг друга, отсутствие единой терминологии становятся серьёзной помехой в решении поставленных перед ними задач.

В этой работе будет сделана попытка рассмотреть безопасный документооборот не сточки зрения службы ИТ, а с точки зрения ДОУ.  Ввиду того, что, как было сказано выше, проблема информационной безопасности в основном рассматривается как защита электронного документооборота. А другие аспекты практически не учитываются.

 
1 Теоретические основы построения документооборота

1.1 Краткая теоретическая справка о документообороте

Закон «Об информации, информатизации и защите информации» определяет информацию как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления». Стандарт ISO 15489 по управлению документацией определяет информационный материал (document) как «зафиксированную информацию или объект, который можно рассматривать как единое целое». Документ (record), согласно этому стандарту, это «информация посланная, полученная, и сохраняемая организацией или физическим лицом в качестве свидетельства и сведений, во исполнение правовых обязательств или в ходе деловой деятельности».

Все документы являются информационными материалами (информацией), но далеко не все информационные материалы имеют статус документа. Основной признак документа состоит в том что, содержание, обстоятельства создания и форма представления информационного материала фиксируются в определённый момент времени, и далее хранятся в неизменном виде. Кроме того, документ либо фиксирует какие-либо факты и события, либо служит основанием для принятия деловых решений и совершения действий. Следует отметить, что в настоящее время грань между документами и не-документами постепенно стирается, особенно в связи с ужесточением законодательных и нормативных требований к документообороту.

Информационные ресурсы организации включают в себя информацию и документы в различной форме – как бумажные, так и электронные, а также информацию и знания в головах сотрудников. Последняя составляющая очень важна, и опыт событий 11 сентября 2001 года показал, что, даже если всю информацию удалось сохранить, без ключевых сотрудников она часто оказывается для организации бесполезной.

Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение конфиденциальности, целостности и наличия информации. Надо сказать, что все эти вопросы в отношении информации на «традиционных» носителях (таких, как каменные плиты, глиняные таблички, папирус, пергамент, бумага, фото- и киноплёнка, магнитофонные звукозаписи, грампластинки, микроплёнки, микрофиши и т.п.) службы ДОУ как решали в течении тысячелетий, так и продолжают решать сейчас. Раздел 12.1.3 стандарта «Защита документов организации» вообще представляет собой не что иное, как описание важнейших функций службы ДОУ, но уже в отношении документов всех видов, включая электронные. Что касается защиты электронных документов и электронного документооборота, - пока за это отвечает служба ИТ.

Разнообразные виды угроз информационной безопасности организации можно разделить на несколько групп.

1.     Первую группу составляют преступные действия разного рода, такие как мошенничество, шпионаж, саботаж, вандализм, незаконное уничтожение или искажение документов и т.п.

2.     Во вторую группу входят действия или бездействие, приводящие к не созданию необходимых документов и информационных материалов, к несоблюдению законодательных и нормативных требований к делопроизводству и документообороту, в особенности к срокам хранения и порядку уничтожения документов, - в результате чего возможны штрафы, проигрыш гражданских исков, и даже уголовное преследование. Сюда же относятся неумышленное раскрытие персональной информации и информации, защищённой как интеллектуальная собственность.

3.     Третья группа рисков – это разного рода катастрофические явления, как естественные, так и обусловленные деятельностью человека. Наиболее распространённые из них – пожар, повреждение водой и отключение электроэнергии.

Таким образом, безопасность – это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов, и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф.

1.2 Сохранение важнейших документов организации

Обеспечение сохранности важнейших документов организации - одно из современных направлений в сфере информационной безопасности. К важнейшим относят те документы и материалы – на всех видах носителей, и не обязательно подлинники, – которые потребуются немедленно, в первые минуты, часы и дни после чрезвычайного происшествия, а также те, безвозвратная утрата или повреждение которых подрывает (по юридическим, нормативным и эксплуатационным причинам) возможность организации продолжать свою деятельность. Важнейшие документы – это не обязательно ценные документы постоянного срока хранения. Так, к ним относятся списки телефонов и адресов сотрудников компании, списки поставщиков, способных в случае необходимости предоставить помещения и оборудование, необходимое для восстановления деятельности, и т.п.

Интересно отметить, что, согласно стандартам, те важнейшие документы, которые могут потребоваться немедленно, должны храниться в основном в бумажном виде, с тем, чтобы люди могли с ними работать даже тогда, когда вся техника вышла из строя.

Вопросы защиты важнейших документов выдвинулись на первый план после теракта 11 сентября 2001 года, когда были разрушены башни Всемирного торгового центра (ВТЦ) в Нью-Йорке. Не только американцы, но и представители делового мира из других стран внимательно изучали приобретенный опыт восстановления деловой деятельности. Самыми уязвимыми оказались бумажные документы – практически все они погибли. Большинство располагавшихся в ВТЦ компаний смогли, благодаря хорошо налаженному резервированию в удаленных центрах, практически полностью сохранить электронные документы и информацию. Те из них, кто позаботился о подготовке планов на случай непредвиденных обстоятельств и о тренировках персонала, либо вовсе не прерывали своей деятельности, переключив её на резервные центры управления, либо смогли быстро вернуться к работе.

Пример: Merrill Lynch, одна из ведущих мировых финансовых компаний, в результате терактов 11 сентября 2001 года в Нью-Йорке потеряла свою штаб-квартиру, расположенную в одной из башен Всемирного торгового центра. Были задеты еще несколько зданий компании – всего события затронули 9000 сотрудников.

«Аварийные группы» компании сразу же приступили к действиям и организовали эвакуацию. План на случай чрезвычайного положения сработал, персонал был благополучно выведен из здания в течение нескольких минут. Пока шла эвакуация, критически-важные функции, в соответствии с планом, были переданы запасному командному центру в Нью-Джерси - и все сотрудники корпорации, благодаря плану, знали, куда звонить и передавать информацию. В результате деловая деятельность в расположенных в разных точках планеты офисах компании продолжалась в обычном режиме. Сотрудники поврежденных офисов были переведены на другие объекты, принадлежащие компании, и к 17 сентября 8000 сотрудников уже вернулись к работе.

Руководство компании считает, что благодаря проработанным планам продолжения деятельности и проведенным накануне широкомасштабным учениям, фирма была исключительно хорошо подготовлена, - что позволило не прерывать нормальной деловой деятельности и свести потери к минимуму. Немало способствовали этому и ранее проведенные компанией мероприятия во избежание «ошибки 2000 года».

В нашей стране защите важнейших документов, как составной части плана действий в непредвиденных ситуациях, тоже стали уделять внимание, как сами организации, так и контролирующие органы. Например, план ликвидации последствий непредвиденных обстоятельств включен Центральным Банком Российской Федерации (ЦБ) в перечень обязательных документов кредитной организации, как один из документов, регулирующих функции системы внутреннего контроля.

Как и многие другие задачи, проблема защиты важнейших документов решается только в том случае, когда служба ДОУ, отвечающая главным образом за «бумажную» работу, и служба информационных технологий, контролирующая сегодня электронные документы и материалы, объединяются в единое целое и действуют совместно.

1.3 Внедрение систем электронного документооборота

Россия в данном вопросе отстает, и очень существенно. При внедрении систем электронного документооборота возникает большое количество проблем. Это и не удивительно - мы живем в эпоху революционных изменений в области делопроизводства и документооборота, когда новое соседствует со старым, новейшие технологии внедряются в условиях законодательства, ориентированного на бумажный документооборот. На сегодняшний день существуют две группы проблем, которые необходимо решать на государственном уровне:

Трудности, связанные с недостаточной поддержкой государством внедрения СЭД. Пока государство и суды не признают электронные документы, бизнес может использовать СЭД только для поддержки оперативной деятельности. Государство до сих пор не справилось с относительно простой задачей формирования инфраструктуры, необходимой для использования ЭЦП, а уж о более фундаментальных вещах, таких, как единая техническая политика в отношении СЭД, используемых в государственных учреждениях, и говорить не приходится. Справедливости ради нужно отметить, что есть и положительные примеры, особенно стоит отметить активные усилия Банка России и МНС в использовании современных технологий и в постепенном переходе на электронный документооборот.

Большая группа проблем связана с отсутствием нормативной базы, необходимой для полноценного использования электронных документов. Так, не установлен порядок признания юридической силы электронных документов государственными органами и судами; отсутствует официально признаваемая методика работы с электронными документами, обеспечивающая признание их юридической силы; отсутствуют методики экспертизы ценности электронных документов, передачи их на архивное хранение, уничтожения электронных документов, работы с грифованными электронными документами, и т.д.

Все перечисленные проблемы напрямую связаны с информационной безопасностью. Пока что электронные документы – вроде и не документы вовсе, и во многих организациях с ними поступают, как хотят. Часто отсутствует даже элементарный учёт имеющихся в организации программных средств и баз данных, а в результате электронные документы и информация либо утрачиваются, либо их становится невозможно ни найти, ни использовать. Уничтожение увольняющимися сотрудниками «своих» электронных богатств – самое обычное явление, с которым невозможно бороться.

Пример: Немецкие Федеральные архивы при объединении Германии получили электронные документы из государственных архивов ГДР. Это были разнообразные базы данных: сельскохозяйственная статистика, персональные данные членов компартии, сведения о трудовой деятельности и т.д. Федеральные архивы сумели сохранить только часть этих документов, и то с большим трудом, поскольку вспомнили о них и задумались об организации их длительного хранения только через 10 лет. К этому моменту во всей Германии не нашлось необходимого оборудования и программного обеспечения, а также специалистов, которые могли бы на таком оборудовании работать.

Страницы: 1, 2