Организационные меры по защите конфиденциальной информации и их доку ментационное обеспечение. Основные принципы работы с конфиденциальными документами

 

Система защиты конфиденциальной информации органа государственной власти, организации — совокупность структурного подразделения органа государственной власти, организации, должностного лица (далее — структурное подразделение по защите конфиденциальной информации или службы безопасности), отвечающая за соблюдение конфиденциальности, и используемых ими средств и методов защиты, а также мероприятий, проводимых в этих целях.

При этом еще раз хотелось бы отметить, что в данной книге рассматриваются только традиционные методы защиты, к которым, по нашему мнению, относятся организационные меры, а соответственно и документационное обеспечение этих мер.

Необходимый уровень безопасности конфиденциальной информации определяется правильностью использования службой безопасности организации основных принципов, средств и методов ее защиты.

Одним из основных принципов защиты конфиденциальных документов является организация закрытого документооборота или технология конфиденциального делопроизводства.

Анализ правовой базы и нормативных документов по вопросу документационного обеспечения организационных мер по защите конфиденциальной информации и технологии конфиденциального делопроизводства показывает, что таких документов нет, кроме постановления Правительства РФ от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти".

Исследования также показали, что правовая база и нормативные документы яо организационным мерам по защите государственной тайны и основным принципам, требованиям и порядку работы с документами и информацией, отнесенной к гостайне, имеет достаточно большой объем и полностью раскрывает все вопросы по перечисленным проблемам..

В связи с указанным, на наш взгляд, для организации работы с конфиденциальными документами можно воспользоваться аналогией основных направлений организации работы по защите гостайны и организации работы с документами, составляющими гостайну, а соответственно основных принципов, методов и средств:

засекречивания, рассекречивания документов, для конфиденциальных документов: установление ограничения допуска, доступа, снятия ограничения доступа с документов и информации или иными словами установление "конфиденциальности", снятие "конфиденциальности";

порядка допуска и доступа к конфиденциальной информации и документам организаций, должностных лиц и граждан;

порядка составления перечня информации конфиденциального характера;

порядка передачи конфиденциальной информации;

распоряжения конфиденциальной информацией;

финансирования мероприятий по ее защите;

контроль и надзор за обеспечением защиты;

порядка работы с документами и информацией или с технологией конфиденциального делопроизводства (Приложения 2, 5);

порядка пропускного и внутриобъектового режима организаций (Приложение 3);

порядка организации работы службы безопасности (Приложение 4).

Перечисленные основные принципы, средства и методы отражены в разработанном нами Приложении 11 — вариант проекта Федерального закона "О конфиденциальной информации". Представляемый вариант проекта закона разработан по аналогии с Законом РФ "О государственной тайне".

Порядок работы с документами и информацией или технология конфиденциального делопроизводства изложен на основе анализа открытых нормативных и инструктивных материалов министерств и ведомств, в Приложении 2 "Методические рекомендации по организации работы с документированной информацией ограниченного доступа" и Приложении 5 "Типовой договор о конфиденциальности и неразглашении информации между организациями".

Методы и средства защиты конфиденциальной информации, разработанные на основе нормативных и инструктивных документов министерств и ведомств, организаций как порядок пропускного и внутриобъектового режима, режима секретности, изложены в Приложении 3 "Типовая инструкция о режиме секретности, пропускном и внутриобъектовом режиме в административных зданиях организаций" и Приложении 4 "Типовое положение о службе безопасности".

Методы и средства защиты информации также изложены в части "Порядок выезда за границу из Российской Федерации, его документационное обеспечение. Ограничение выезда граждан, осведомленных в информации ограниченного доступа", и части V "Карательно-воспитательные меры по защите документированной информации ограниченного доступа", а также в Приложениях 9, 10.

В зависимости от объема работ с использованием конфиденциальных документов и информации в организациях можно

создать структурные подразделения по защите конфиденциальной информации с учетом специфики проводимых ими работ (Приложение 4 "Типовое положение о службе безопасности"). Организационные меры по защите конфиденциальной информации содержат меры управленческого и ограничительного характера и включают в себя;

наличие в учредительных и организационных документах организации, контрактах, заключаемых с сотрудниками, и в должностных инструкциях положений и обязательств по защите конфиденциальной информации;

формирование и регламентацию деятельности структурного подразделения (должностного лица) организации по работе с данной информацией, обеспечение этого подразделения нормативно-методическими документами, по организации и технологии защиты информации;

регламентацию и регулярное обновление перечня (списка), конфиденциальной информации, подлежащей защите, составление и ведение перечня конфиденциальных документов организации;

разграничение доступа персонала к конфиденциальной информации;

построение технологии документирования — составление, оформление, изготовление и издание конфиденциальных документов;

построение технологии обработки и хранение конфиден циальных документов;

организацию архивного хранения конфиденциальных документов;

порядок и правила работы персонала с конфиденциальными документами и информацией;

порядок защиты информации при ведении переговоров, проведение совещаний по конфиденциальным вопросам, приеме посетителей, осуществлении рекламной, выставочной и другой деятельности;

оборудование и аттестацию помещений и рабочих зон, выделенных для осуществления конфиденциальной деятельности, лицензирование технических систем и средств защиты информации и охраны;

регламентацию пропускного режима на территории, в зданиях и помещениях организации;

регламентацию системы охраны территории, здания, помещений, оборудования.

Система доступа решает следующие задачи:

обеспечение сотрудников всеми необходимыми для работы документами и информацией;

ограничение круга лиц, допускаемых к конфиденциальным документам;

исключение несанкционированного ознакомления с документами.

Разрешение (санкция) на доступ к конфиденциальной информации должно даваться руководителем в письменном виде: распорядительным документом, утверждающим схему должностного или именного доступа к информации, резолюцией на документе, списком-разрешением в карточке выдачи дела или на обложке дела, списком ознакомления с документом.

Организационная защита регламентирует приемы обработки конфиденциальных документов и систему допуска и доступа к ним персонала.

Технология прохождения конфиденциальных документов их составления, обработки и хранения (технология документооборота) решает задачи не только в сфере делопроизводства, но и в сфере защиты информации конфиденциальных документов. К задачам защиты в делопроизводстве можно отнести следующие:

предупреждение несанкционированного доступа любого лица к документу, его частям, вариантам, черновикам, копиям;

обеспечение физической сохранности документов и носителей конфиденциальной информации;

обеспечение сохранности информации, содержащейся в документах.

Проблемой при разработке методов организационной защиты информации является формирование системы и степеней допуска персонала к конфиденциальной информации. Важно установить кто, к какой информации, на какой период и как допускается. В подразделе "Порядок допуска и доступа должностных лиц и граждан, его документационное обеспечение" четко определена организация доступа и допуска к документам, относящимся к государственной тайне, которая напрямую зависит от степеней допуска. Однако, как уже говорилось, в действующих нормативных актах не отражены степени допуска (конфиденциальности) документов (в документах, относящихся к государственной тайне, степени секретности определены). Поэтому степень допуска конфиденциальных документов используют, исходя из сложившейся практики организаций и предприятий независимо от организационно-правовой формы, формы собственности и вида деятельности.

При принятии на работу новых сотрудников, для защиты конфиденциальной информации можно использовать договор (контракт) об оформлении допуска к служебной и коммерческой информации, носящей конфиденциальный характер, как приложение к трудовому договору, по аналогии с Типовым договором (контрактом) об оформлении допуска к государственной тайне (подраздел "Типовые формы документов, применяемые при оформлении допуска должностных лиц").

На наш взгляд, также можно воспользоваться указанными типовыми формами при организации допуска и доступа к конфиденциальной информации организаций, должностных лиц, граждан.

При установлении круга сотрудников, допущенных к определенной категории конфиденциальной информации, а также составлении перечня данной информации организации, следует руководствоваться основными принципами и требованиями, изложенными в разделах по работе с секретными документами первой части книги, а также принципом "чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников могут их знать".

Степень конфиденциальности документов должна соответствовать степени тяжести ущерба, который может быть нанесен организации вследствие распространения информации, содержащейся в указанных документах.

Исторически сложилось, что степени допуска конфиденциальных документов и наименования их грифов заимствованы организациями из степеней допуска документов, относящихся к государственной тайне.

Практически степени допуска конфиденциальных документов определяет сама организация.

В государственных органах власти и управления, организациях для конфиденциальных документов — служебной информации применяется степень допуска "Для служебного пользования" (ДСП) в соответствии с постановлением Правительства РФ от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти".

Степени допуска и наименования их грифов, применяемые негосударственными организациями, встречаются самые разнообразные: "особой важности"; "совершенно секретно"; "секретно"; "для служебного пользования"; "не для печати"; "строго конфиденциально", "конфиденциально" и т.д.

Но не следует забывать, что в соответствии со ст. 8 Закона РФ "О государственной тайне" использование грифов "особой важности"; "совершенно секретно"; "секретно" для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Степени доступа могут быть и без наименования, например, персональные данные (кадровая документация, медицинские карты, списки адресов жителей микрорайона и т.д.).

На современном этапе ведущие специалисты создают работы, игнорируя классификацию видов и подвидов документированной информации ограниченного доступа, включая конфиденциальную. Например, авторы работ предполагают под конфиденциальной информацией информацию, относящуюся к коммерческой тайне, — "тайне фирмы". Уделяя основное внимание, что, конечно, правильно, главному принципу защиты конфиденциальной информации — организацию технологии "закрытого документооборота" (экспедиционная обработка, учет, регистрация, контроль исполнения документов, издание документов и дел, формирование дел в соответствии с номенклатурой, архивное хранение документов и дел и т.д.). Но не обращают внимание на то, что фундаментом работы с конфиденциальной информацией является ее содержание, конфигурация. Соответственно для других видов конфиденциальной информации существуют обособленные системы закрытого делопроизводства: персональные данные — кадровое делопроизводство; делопроизводство следствия и судопроизводства; медицинское делопроизводство; патентное делопроизводство и т.д.. А как быть с основами работы с конфиденциальной информацией и документами, относящимися к аудиторской, банковской, профессиональной и другим видам тайн, сущности изобретения, полезной модели, промышленного образца.