Ещё одна грань информационной безопасности – сохранение аутентичности и целостности электронных документов. Сейчас с электронным документом в суд не пойдешь, а о будущем мало кто задумывается. Но если сегодня не начать архивировать электронные документы в строгом соответствии с известными международными стандартами, то завтра, когда электронные документы будут признаны на деле, организация не сможет доказать подлинность своих документов. Для компаний, ведущих международную деятельность, это уже «горящая» проблема, поскольку, к примеру, в большинстве развитых стран сообщения электронной почты признаются деловыми документами и могут быть предъявлены в качестве доказательства в суде.

Проблема обеспечения аутентичности электронных документов особенно обостряется, если их нужно хранить долго – более 5-7 лет. В этом случае, вследствие устаревания компьютерных систем и/или форматов данных, может потребоваться перенос документов в другую компьютерную систему и/или преобразование в новые форматы (миграция). Мало того, что миграция может «влететь в копеечку», - каждый её шаг должен быть тщательно задокументирован, с тем, чтобы аутентичность документов не могла быть подвергнута сомнению.

Но что говорить о миграции – даже при обычном сканировании документов для помещения их в электронный архив требуется не только документировать все действия и обеспечить техническую защиту полученных образов документов, но и избегать операций, которые могут поставить аутентичность документов под сомнение. В зарубежной судебной практике уже есть примеры, когда суды отказывались принимать документы из электронных архивов на том основании, что после сканирования образы были отредактированы (убиралась «грязь»), а владельцы архива не могли доказать, что при редактировании не были внесены значимые изменения в документ.

1.4 Системы электронного документооборота

Весьма распространённое использование терминов поставщиками математического обеспечения может привести к крупным неприятностям и финансовым потерям, если компания, не разобравшись, закупит систему, не соответствующую её потребностям. В наше время «системой электронного документооборота» называют всё, что угодно: системы управления образами документов («электронный архив»), системы управления деловыми процессами (workflow-системы), электронно-информационные системы (Electronic Document Management System - EDMS), и наконец, «настоящие» системы электронного документооборота (Electronic Records Management System - ERMS). Решение о покупке системы часто принимает высшее руководством компании совместно с руководителем службы ИТ, и они далеко не всегда знают, какие функциональные возможности необходимы для службы документационного обеспечения управления. Ошибка оборачивается убытками на многие тысячи долларов для покупателя, и определённой потерей репутации для фирмы-поставщика.

«Настоящая» система электронного документооборота обязана, в частности, иметь следующие характеристики:

1.     После регистрации информационного материала в качестве документа, его автор уже не имеет возможности как-либо изменить или уничтожить документ.

2.     Документу устанавливается срок хранения, соответствующий требованиям законодательства и контролирующих организаций. Средства системы должны позволять «запрограммировать» все встречающиеся в отечественных нормативных актах варианты правил вычисления срока хранения (в течение заданного отрезка времени, до определённого наступления события, комбинированные, и т.д.)

3.     Система должна защищать хранимые в ней документы от каких-либо изменений. Уничтожать электронные документы могут только специально уполномоченными лица – сотрудники служб ДОУ или ИТ, в рамках плановой работы по экспертизе ценности и уничтожению документов с истекшими сроками хранения.

Взаимоотношение ДОУ и ИТ

При внедрении систем электронного документооборота на уровне отдельной организации особую остроту приобретает проблема взаимоотношений и взаимопонимания между службой ИТ с одной стороны, и службой ДОУ, юридическим отделом и деловыми подразделениями – с другой.

Прежде всего, это проблема «социального статуса». ИТ-специалисты стоят на более высокой ступени в иерархии организации, имеют большую зарплату, пользуются гораздо большим влиянием на руководство. В коммерческих структурах денег на развитие современных технологий не жалеют, в то время как отделы ДОУ получают средства на свое развитие по остаточному принципу. Кроме того, специалисты ДОУ жалуются на то, что служба ИТ определяет требования к управлению документами, не консультируется с ДОУ при выборе и закупке систем электронного документооборота.

Не секрет, что большинство представителей ИТ считают службу ДОУ пережитком «старины глубокой», и вообще чисто затратным подразделением.

Пример: В интервью журналу Intelligent Enterprise (N19, октябрь 2004 года) о проблемах внедрения систем электронного документооборота, один специалист ИТ так описывал своих коллег из службы ДОУ: «Сами сотрудники не пылали желанием использовать новые технологии. Многие из них прекрасно существовали в системе, где фактически единственной их функцией была переноска папок с этажа на этаж».

Любопытно, однако, что именно продолжающееся внедрение информационных технологий в процесс документооборота, в сочетании с усиливающимся давлением со стороны законодательства и контролирующих органов, потихоньку приводит к изменению положения ДОУ в лучшую сторону – поскольку ряд знаний и навыков, обычных для сотрудников нашей службы и остро необходимых сейчас в электронном документообороте, не распространены среди специалистов ИТ. К ним относятся:

1.     понимание жизненного цикла документа, который может включать такие стадии, как создание, временное хранение в соответствии с требованиями законодательства и контролирующих инстанций, экспертизу ценности, постоянное хранение или уничтожение в установленном порядке;

2.     понимание того, что вся информация организации должна управляться по единым правилам;

3.     привычка веси строгий учёт документов, их выдачи и возврата;

4.     в отличие от большинства программистов, сотрудники ДОУ вынуждены продумывать свою работу как минимум на пять лет вперёд (столько времени, по закону, должны храниться документы бухгалтерского учёта). Они понимают, что нужно не просто сохранить соответствующие электронные документы, но сохранить их так, чтобы их целостность и аутентичность могла быть доказана.

В апреле 2004 года консультационная фирма Forrester Consulting по заказу международной ассоциации управляющих документацией и информацией ARMA провела опрос, в ходе которого сотрудникам ИТ, ДОУ и деловых подразделений был задан ряд вопросов связанных с внедрением электронного документооборота. Анализ результатов показал, что именно представители ДОУ лучше других видят проблемы, возникающие при внедрении. Особенное беспокойство вызвало то, что сотрудники ИТ и деловых подразделений плохо понимают роль электронного документооборота в обеспечении соответствия деятельности организации законодательству и нормативным требованиям.

Конечно, специалисты ДОУ и сами не без греха. Во многих организациях ДОУ не стремиться взять на себя «свою» долю работы по управлению электронными документами и часто ведет себя как вспомогательная служба, а не как неотъемлемая часть деловых процессов. Специалисты ДОУ недостаточно активно и жёстко отстаивают свои принципы, свою терминологию, плохо рекламирует и «продают» себя, надеясь, что все и так знают, чем и как они занимаются. Очень плохо, если они к тому же не хотят знакомиться с основами ИТ, не желают и не умеют работать с электронными документами.

Для успешного внедрения электронных систем и их надёжной защиты необходимо тесное сотрудничество специалистов ИТ, ДОУ и других заинтересованных сторон: деловых подразделений, юридической службы, службы внутреннего контроля. В перспективе, одним из разумных решений может быть переход службы ДОУ в подчинение ИТ, и создание единого подразделения, управляющего всеми информационными ресурсами в организации. Подобные единые структуры уже существуют как за рубежом, так и в ряде организаций нашей страны.

1.5 Уничтожение документов с истекшими сроками хранения

Возможность вполне законно уничтожить документы по истечении срока хранения - чрезвычайно важный элемент всей работы по обеспечению информационной безопасности. Это не только возможность уменьшить риск утечки конфиденциальной информации, фактически, - это амнистия старых «грешков» организации, при условии, что у неё хорошо налажены делопроизводство и документооборот.

В бумажном делопроизводстве, уничтожение документов и предшествующий этап экспертизы их ценности считаются наиболее сложными видами работ, требующими как высокой профессиональной квалификации, так и умения взаимодействовать практически со всем коллективом организации. С электронными документами нужно решать все те же проблемы, что и с бумажными, плюс ещё несколько – порой очень трудно разыскать и уничтожить все имеющиеся копии электронного документа (включая те, что хранятся на резервных лентах), к тому же, как выяснилось на практике, гарантированное уничтожение электронных документов требует физического уничтожения носителей этих документов, для чего требуются специальные технические средства.

2 Методические основы построения и организации защищенного документооборота

2.1 Организация документооборота

Установление порядка движения документов или управление документацией организации заключается в создании условий, обеспечивающих хранение необходимой документной информации, ее быстрый поиск и снабжение ею потребителей в установленные сроки и с наименьшими затратами. Она включает:

·     организацию документооборота;

·     создание информационно-поисковых систем по документам;

·     контроль их исполнения;

·     подготовку документов к передаче на архивное хранение.

         Документооборот — это движение документов с момента их получения или создания до завершения исполнения, отправки адресату или сдачи их на хранение.

         Документооборот в организациях осуществляется в виде потоков документов, циркулирующих между пунктами обработки и создания информации (руководители организации и структурных подразделений, специалисты) и пунктами технической обработки собственно документов: экспедиция, машбюро, копировально-множительная служба и другие. В организации эти потоки документов разделяются на направляемые руководству, в подразделения, конкретным исполнителям. В подразделениях также формируются документопотоки, которые в результате образуют единый поток отправляемой корреспонденции. Кроме того, в организациях, как правило, циркулируют документы, созданные в ней и не предназначенные к выходу за ее пределы — потоки внутренней документации.

         По определению "Движение документов с момента их получения или создания до завершения исполнения, отправки адресату или сдачи на хранение" образует документооборот. Соответственно масштабам движения документов можно выделить документооборот   конкретного   должностного   лица,   структурного подразделения, организации, отрасли управления, государства в целом.

         Действующие нормативные акты и методические пособия, в том числе и «Государственная система документационного обеспечения управления. Основные положения. Общие требования к документам и службам документационного обеспечения» (ГСДОУ), исходя из прагматических соображений, рассматривают в качестве объекта регулирования только документооборот организации в целом и соответственно потоки входящих, внутренних и исходящих документов.

         Порядок движения документов в организации вторичен по отношению к структуре организации и внутреннему распределению обязанностей, в том числе неформальной системе субординационных отношений. Однако это не значит, что система организации документооборота не поддается самостоятельному регулированию и нормированию. ГСДОУ требует закрепления порядка движения документов внутри организаций в схемах, разрабатываемых службой делопроизводства и утверждаемых руководством организаций. В подобные схемы должны быть включены все, в том числе и компьютерные пункты обработки документной информации и, если они поддаются нормированию, сроки прохождения и обработки документов. Самостоятельные схемы разрабатываются для различных категорий документов: входящих, исходящих, внутренних, приказов по личному составу и по основной деятельности и т.д. В эти схемы включаются, как правило, этапы создания документов от момента написания черновика. В случае утверждения схем движения документов руководством организации они приобретают нормативную силу.

         Документооборот, или порядок движения документов в организации, можно разделить на следующие этапы:

         1. Экспедиционная обработка документов, поступающих в организацию.

         2. Предварительное рассмотрение документов службой документационного обеспечения.

         3. Рациональное движение документов внутри организации.

         4. Обработка исполненных и отправляемых документов.

2.2 Организация конфиденциального делопроизводства - начало обеспечения безопасности информации

Правильная организация конфиденциального делопроизводства в фирме является составной частью комплексного обеспечения безопасности информации и имеет важное значение в достижении цели ее защиты. Как известно, специалисты, занимающиеся в области информационной безопасности утверждают, что порядка 80% конфиденциальной информации находится в документах делопроизводства. Поэтому вопросы конфиденциального документооборота в фирме несомненно играют важную роль в достижении ею экономических успехов. В данной статье даны некоторые рекомендации, позволяющие упорядочить работу в фирме с конфиденциальными документами.

Всю информацию в фирме (организации) можно разделить на две большие группы:

·        открытую;                     

·        с ограниченным доступом.

·        В свою очередь информация с ограниченным доступом может быть:

·        государственной тайной;

·        конфиденциальной информацией.

А, следовательно, и документы, содержащие ту или иную информацию подразделяются на секретные и конфиденциальные. Причем, секретные документы могут быть с грифом "Секретно", "Совершенно секретно", "Особой важности". Конфиденциальные документы соответственно с грифами "Коммерческая тайна", "Банковская тайна" и т.д. В настоящее время видов конфиденциальной информации (а, следовательно, и возможных грифованных документов) насчитывается более 30. Что в целом не создает благоприятной атмосферы в смысле обеспечения их безопасности. По этой причине количество видов конфиденциальной информации в перспективе, надо полагать, уменьшится. Каждый вид конфиденциальных документов имеет реквизиты.

По своей природе конфиденциальные документы бывают:

·        нормативно-методические (НМД);

·        руководящие (РД);

·        распорядительные (РПД);

·        информационно-справочные (ИСД);

·        организационные (ОД);

·        финансово-бухгалтерские (ФБД);

·        кадровые (по личному составу) КД.

Правила оформления реквизитов регламентированы ГОСТом "Унифицированная система организационно-распорядительной документации. Требования к оформлению документов". (ГОСТ Р 6.30-97). Конфиденциальные документы, содержащие коммерческую тайну, должны иметь гриф ограничения доступа к документу. Он располагается в правом верхнем углу, например: коммерческая тайна (или сокращенно КТ).

Конфиденциальные документы должны обрабатываться в конфиденциальном делопроизводстве фирмы, либо в общем делопроизводстве, специально назначенным должностным лицом, ответственным за конфиденциальные документы. Конфиденциальные документы должны храниться в отдельном помещении в запираемых и опечатываемых шкафах. Допускается хранение конфиденциальных документов в общем делопроизводстве. Но обязательно они должны находиться отдельно от других дел делопроизводства.

В зависимости от назначения конфиденциальные документы подразделяются на:

·        входящие;

·        исходящие;

·        внутренние.

Прием входящих конфиденциальных документов осуществляется сотрудником конфиденциального делопроизводства.

При этом проверяется:

·        количество листов;

·        количество экземпляров;

·        наличие приложений (если они указаны в сопроводительном письме).

В случае отсутствия в пакете (конверте) некоторых перечисленных документов - составляется акт в 2-х экземплярах. Один экземпляр акта отправляется в адрес отправителя.

Регистрация конфиденциальных документов производится в журналах регистрации, либо на карточках.

На каждом зарегистрированном документе должен проставляться штамп, в котором указывается:

·        наименование;

·        регистрационный номер;

·        дата поступления.

После регистрации документы передаются руководству фирмы для принятия решения. Руководитель после рассмотрения документа определяет исполнителя и дает указания по исполнению документа. Эти указания оформляются на самом документе в виде резолюции.

С резолюцией руководителя конфиденциальный документ передается исполнителю под расписку в журнале регистрации входящих конфиденциальных документов.

По завершении работы над документом на нем проставляется отметка о его исполнении и направлении в дело. После чего документ сотрудником конфиденциального делопроизводства подшивается в дело.

Решение о дальнейшем использовании конфиденциального документа определяется его значением и практической ценностью. В зависимости от этого конфиденциальные документы могут:

·        использоваться в дальнейшем;

·        передаваться в архив на хранение;

·        уничтожаться.

Все эти действия должны выполняться с соблюдением требований к конфиденциальным документам.

Работа с конфиденциальными исходящими документами включает следующие этапы:

·        разработка проекта документа;

·        согласование документа;

·        подписание документа;

·        регистрация документа;

·        отправка документа.

Проект исходящего конфиденциального документа разрабатывается исполнителем документа в 2-х экземплярах и по необходимости согласовывается с другими специалистами фирмы. Далее проект документа предоставляется на подпись руководителю фирмы. После подписания документа, он регистрируется сотрудником конфиденциального делопроизводства в журнале (карточке) регистрации исходящих конфиденциальных документов. Рассылка конфиденциальных документов осуществляется согласно подписанных руководителем списков с обязательным указанием учетных номеров отправленных документов.

Выдача и возврат конфиденциальных документов должны своевременно отражаться в журнале учета и выдачи конфиденциальных.

При получении конфиденциального документа сотрудник должен сверить номер полученного документа с его номером в журнале, проверить количество листов и расписаться за полученный документ. При возврате конфиденциального документа сотрудник конфиденциального делопроизводства должен сверить номер этого документа с номером в журнале, проверить количество листов документа и в присутствии сотрудника, возвращающего документ поставить в журнале (в соответствующей графе) свою подпись и дату возврата документа.

Все дела с конфиденциальными документами и журналы их учета вносятся в номенклатуру дел фирмы.

По окончании каждого года руководителем фирмы создается комиссия, которая должна:

·        проверить наличие конфиденциальных документов;

·        определить конфиденциальные документы для архивного хранения;

·        определить конфиденциальные документы, подлежащие уничтожению.

Архивное хранение конфиденциальных документов производится в опечатанных коробках, в помещениях, исключающих несанкционированный доступ посторонних лиц. На конфиденциальные документы, отобранные к уничтожению комиссией, составляет акт. Акт утверждается руководителем фирмы.

В случае утери конфиденциального документа руководителем фирмы создается комиссия, которая проводит расследование по факту утраты данного документа. По результатам работы комиссии руководителем фирмы принимается решение о привлечении к ответственности лиц виновных в утрате конфиденциального документа.

Заключение

При написании курсовой автор постарался учесть как можно больше аспектов по построению защищенного документооборота и представить ряд требований, которые позволяли построить систему безопасного обращения документов в любой структуре как государственной, так и коммерческой. К сожалению в рамках курсовой работы почто не возможно представить все стороны защиты документов на предприятии ввиду небольшого формата и узости темы.

          Автор считает, что обеспечение информационной безопасности требует решения многочисленных проблем, и их, безусловно, не под силу в одиночку решить ни службе ИТ, ни службе ДОУ, ни какой-либо другой. Только координированная работа всех служб под единым руководством, при понимании и поддержке, как со стороны высшего руководства, так и персонала организации может привести к успеху. Особенно, важна интеграция ИТ и ДОУ в единую службу управления документами и информацией, при этом сотрудники ДОУ должны понимать и активно использовать современные технологии в своей работе, а сотрудники ИТ – «теплее» относиться к потребностям деловых подразделений организации и к вопросам, связанным с соблюдением законодательных и нормативных требований к документообороту.

Определения и сокращения

ИТ - информационные технологии

ДОУ - документационное обеспечение

СЭД  - система электронного документооборота

ЭЦП – электронно-цифровая подпись

СКЗИ - средств криптографической защиты информации

ЭД  - электронная документация Список использованной литературы

1.    ГОСТ 16487-83. Делопроизводство и архивное дело. Термины и определения. - М., Издательство стандартов, 1983.

2.    ГОСТ Р 6.30-97 Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов.-М., Издательство стандартов, 1997.

3.    Кузнецова Т. В. Делопроизводство. -М: Изд-во ЮНИТИ, 2001. – с  322

4.     Сабынин В.Н Организация конфиденциального делопроизводства - начало обеспечения безопасности информации в фирме//Информост-радиоэлектроника и телекоммуникации -2001.- №4 – с 17

5.    Стандарт предприятия. Порядок подготовки, согласования и издания приказов, указаний и других организационно-распорядительных документов. СТП 2069131-01-98. 1998.

6.     http://www.security.ukrnet.net/ – авторский сайт Домарева В.В. «Безопасность информационных технологий»

Страницы: 1, 2