Документооборот как объект защиты представляет собой совокупность (сеть) каналов распространения документированной конфиденциальной информации по потребителям в процессе управленческой и производственной деятельности.
Движение документированной информации нельзя рассматривать только как механическое перемещение документов по инстанциям, как функцию почтовой доставки корреспонденции адресатам. Основной характеристикой такого движения является его технологическая комплексность, т.е. соединение в единое целое управленческих, делопроизводственных и почтовых задач, определяющих в совокупности смысл перемещения документа.
При движении документов (в том числе электронных) по инстанциям создаются потенциальные возможности утраты этой информации за счет расширения числа источников, обладающих ценной информацией.
Угрозы документам в документопотоках включают в себя:
кражу (хищение), утерю документа или его отдельных частей (приложений, экземпляров, листов, вклеек, вставок, черновиков, редакций и т.п.);
|
|
копирование бумажных и электронных документов, фото-, видео-, аудиодокументов и баз данных;
подмену документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;
тайное или разрешенное ознакомление с документами и базами данных, запоминание и пересказ информации злоумышленнику;
дистанционный просмотр документов и изображений дисплея с помощью специальных технических средств;
ошибочные действия персонала при работе с документами (нарушение разрешительной системы, порядка обработки документов, правил обращения с документами и т.п.);
случайное или умышленное уничтожение ценных документов и баз данных, их несанкционированная модификация, искажение и фальсификация;
считывание данных в чужих массивах за счет работы с остаточной информацией на копировальной ленте, бумаге, дисках ЭВМ;
маскировка под зарегистрированного пользователя;
утечка информации по техническим каналам при обсуждении и диктовке текста документа, изготовлении документов.
Главным направлением защиты документированной информации (документов) от всех видов угроз является формирование защищенного документооборота и использование в обработке и хранении документов технологической системы, обеспечивающей безопасность информации на любом типе носителя. За счет этого достигается возможность контроля конфиденциальной информации в ее источниках и каналах распространения.
Помимо общих для документооборота принципов защищенный документооборот базируется на ряде дополнительных принципов:
|
|
персональной ответственности сотрудников за сохранность носителя и тайну информации;
ограничении деловой необходимости доступа персонала к документам, делам и базам данных;
операционном учете документов и контроле за их сохранностью в процессе движения, рассмотрения, исполнения и использования;
жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала.
В крупных предпринимательских структурах с большим объемом документов в потоках защищенность документооборота достигается за счет:
формирования самостоятельных, изолированных потоков конфиденциальных (грифованных) документов и, часто, дополнительного разбиения их на изолированные потоки в соответствии с уровнем конфиденциальности (уровнем грифа) перемещаемых документов;
использования централизованной автономной технологической системы обработки и хранения конфиденциальных документов, изолированной от системы обработки других документов;
организации самостоятельного подразделения (службы) конфиденциальной документации или аналогичного подразделения, входящего в состав службы безопасности, аналитической службы фирмы.
В предпринимательских структурах с небольшим составом штатных сотрудников и объемом обрабатываемых документов (например, в малом бизнесе), а также в структурах, основная масса документов в которых является конфиденциальной (например, в банках, страховых компаниях), конфиденциальные документы могут не выделяться из общего документопотока и обрабатываться в рамках единой технологической системы. Подразделение конфиденциальной документации в таких предпринимательских структурах обычно не создается. Функции централизованной обработки и хранения конфиденциальных документов возлагаются на управляющего делами, референта или иногда опытного секретаря-референта фирмы.
При любом варианте построения защищенного документооборота предпринимаемые для безопасности информации меры не должны увеличивать сроки движения и исполнения документов.
Одним из важнейших требований к защищенному документообороту является избирательность в доставке и использовании персоналом ценной информации.
Избирательность предназначена не только для обеспечения оперативности в получении пользователем ценной информации, но и ограничения в доставке ему той информации, работа с которой ему разрешена в соответствии с его функциональными обязанностями. В основе избирательности в доставке и использовании конфиденциальных документов лежит действующая в фирме разрешительная (разграничительная) система доступа персонала к конфиденциальной информации, документам, делам и базам данных. Система в данном случае предусматривает целенаправленное дробление конфиденциальной информации между сотрудниками на составные элементы, каждый из которых в отдельности значительной ценности не представляет.
Защита документированной информации в потоках достигается одновременным использованием как разрешительных (ограничительных) мер, так и комплексом технологических процедур и операций, которые входят в систему обработки и хранения документов, обеспечивающую рассмотрение, исполнение, использование и движение документов.
В защищенном документообороте в большинстве случаев используется традиционная (ручная, делопроизводственная) технологическая система обработки и хранения конфиденциальных документов. В отдельных случаях автоматизируются (при сохранении традиционного учета документов) справочные и поисковые задачи, контроль исполнения. Технологическая система приобретает смешанный характер.
|
|
Следует подчеркнуть, что технологические системы обработки и хранения конфиденциальных и открытых документов базируются на единой научной и методической основе. Они едины по структуре. Однако между ними наблюдаются некоторые различия. Так, технологическая система обработки и хранения открытых документов (делопроизводственная, автоматизированная или смешанная) предназначена для решения задач в одной сфере - документационного обеспечения управления.
В свою очередь, технологическая система обработки и хранения конфиденциальных документов решает задачи не только в указанной сфере, но и в сфере защиты информации конфиденциальных документов при работе с ними персонала. К этим задачам можно отнести следующие:
предупреждение несанкционированного доступа любого лица к документу, его частям, вариантам, черновикам, копиям;
обеспечение физической сохранности документов и носителей конфиденциальной информации;
обеспечение сохранности тайны фирмы, ценной информации, содержащейся в документах.
Кроме того, технологическая система обработки и хранения конфиденциальных документов распространяется не только на управленческую (деловую) документацию, но и на конфиденциальные конструкторские, технологические, научно-технические и другие подобные документы, документированную информацию, записанную на различных технических носителях. Защита технических носителей конфиденциальной информации (машиночитаемых документов) имеет важное значение особенно на внемашинных стадиях их обработки и хранения. Именно на этих стадиях велика вероятность утраты носителя, его копирования или уничтожения, подмены и фальсификации.
Обработка и хранение конфиденциальных документов на различных стадиях их движения имеет свои особенности.