Угрозы конфиденциальным документам в документопотоках

 

Конфиденциальные, как и открытые, документы находятся в постоянном движении. Перемещение конфиденциальных документов по множеству иерархических уровней управления создает серьезные предпосылки для утраты ценной информации, требует осуществления защитных мер в отношении документопотоков и документооборота в целом.

 

Документопоток как объект защиты представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации в процессе управленческой и производственной деятельности пользователей (потребителей) этой информации.

 

При движении конфиденциальных документов по инстанциям увеличивается число источников (сотрудников, баз данных, рабочих материалов и т.п.), обладающих ценными сведениями, и расширяются потенциальные возможности для утраты конфиденциальной информации, ее разглашения персоналом, утечки по техническим каналам, исчезновения носителя этой информации.

 

Риск утраты конфиденциальной документированной информации наблюдается на всех стадиях и этапах движения документов, при выполнении любых процедур и операций.

 

Как известно, главной опасностью (угрозой) конфиденциальным документам в документопотоках является несанкционированный доступ постороннего лица к документам, делам и базам данных за счет его любопытства или обманных, провоцирующих действий, а также случайных или умышленных ошибок персонала фирмы. Другими опасностями, связанными, как правило, с главной угрозой и наиболее часто встречающимися, могут быть:

 

- утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;

 

- утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

 

- подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;

 

- случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;

 

- утрата (гибель) документов в условиях реальных или инсценированных экстремальных ситуаций.

 

В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируются по степени риска следующим образом:

 

- непреднамеренные ошибки пользователей, операторов, секретаря-референта, управляющего делами, работников службы безопасности, системных администраторов и других лиц, использующих или обслуживающих информационные системы фирмы;

 

- кражи и подлоги информации;

 

- стихийные ситуации внешней среды;

 

- заражение вирусами.

 

В соответствии с характером указанных выше угроз формируются задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Защищенные документопотоки

 

Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

 

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации.

 

Помимо общих для документооборота принципов, защищенный документооборот основывается на ряде дополнительных принципов:

 

- ограничении доступа персонала к документам, делам и базам данных деловой, служебной или производственной необходимостью;

 

- персональной ответственности руководителей за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и документам;

 

- персональной ответственности каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;

 

- жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала, в том числе первых руководителей.

 

Несколько иное содержание приобретает в защищенном документообороте принцип избирательности в доставке и использовании конфиденциальной информации. В его основе лежит действующая в фирме разрешительная (разграничительная) система доступа персонала к конфиденциальной информации, документам и базам данных. Целью избирательности является не только оперативность в адресной доставке документированной информации потребителю, но и доставка ему только той информации, работа с которой разрешена ему в соответствии с его функциональными обязанностями. Избирательность распространяется не только на поступившие документы, но и на документы, которые составляются персоналом на рабочих местах или с которыми сотрудники только знакомятся.

 

Защищенность документопотоков достигается за счет:

 

- одновременного использования режимных (разрешительных, ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;

 

- нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной информации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;

 

- формирования самостоятельных, изолированных потоков конфиденциальных документов и часто дополнительного их разбиения на подпотоки в соответствии с уровнем конфиденциальности перемещаемых документов;

 

- использования автономной технологической системы обработки и хранения конфиденциальных документов, не соприкасающейся с системой обработки открытых документов;

 

- регламентации движения документов как внутри фирмы, так и между фирмами, т. е. с момента возникновения мысли о необходимости создания документа и до окончания работы с документом и передачи его в архив;

 

- перемещения документов между руководителями, исполнителями и иным персоналом только через секретаря-референта фирмы.

 

Любому движению (перемещению, передаче) документа должны обязательно предшествовать операции по проверке комплектности, целостности и учету нового местонахождения документа. Вместе с тем дополнительные операции (защитные меры) не должны повышать трудоемкость работы с документами и увеличивать сроки их движения и исполнения.