Журнал "Бизнес Энтропия" > Статьи, Безопасность бизнеса > Конфиденциальное делопроизводство в компании
Конфиденциальное делопроизводство в компании |
Автор: Вячеслав Панкратьев, специалист в области безопасности бизнеса, преподаватель-консультант по вопросам корпоративной безопасности, автор и ведущий обучающих программ по проблемам безопасности бизнеса, автор книг и методических пособий по безопасности предпринимательской деятельности.
Организации конфиденциального делопроизводства в информационной безопасности уделяется, как правило, наименьшее внимание, хотя получение конфиденциальной информации через пробелы в делопроизводстве является одним из наиболее доступных способов. Как создавать конфиденциальное делопроизводство в компании? Составные части делопроизводства: • делопроизводство материальных документов; • делопроизводство электронных документов; • система взаимодействия и сопряжения материальных и электронных документов. Структура делопроизводства: • документооборот компании; • информационное хранилище компании (архив). При создании конфиденциального делопроизводства необходимо ответить на следующие вопросы. Общие вопросы: • Возможна ли оптимизация информационных потоков с целью минимизации затрат на создание конфиденциального делопроизводства? • Какие грифы конфиденциальности ставить на документах (конфиденциально, строго конфиденциально, ознакомление по списку, графические фигуры и т.д.)? • Кто осуществляет присвоение и снятие грифа конфиденциальности? • Какой порядок пересмотра грифа конфиденциальности? • Какое подразделение (должностное лицо) ведет учет конфиденциальных документов (ведение реестра), а также учет их перемещения; кто определяет, какие документы содержат конфиденциальную информацию? • Какие документы (кроме конфиденциальных) включать в систему конфиденциального делопроизводства (бланки строгой отчетности, номерные документы и др.)? • Как создавать конфиденциальное делопроизводство - отдельно или на базе существующего открытого делопроизводства? • Кому подчинить конфиденциальное делопроизводство и кто будет ее проверять? • Какой порядок размещения конфиденциальных документов в СМИ, Интернете и в рекламных материалах? • Какой порядок доступа к конфиденциальным документам представителей государственных структур? • Как осуществлять контроль за конфиденциальным делопроизводством, в том числе за использованием копировально-множительной техники? • Какие создать инструкции для обеспечения деятельности конфиденциального делопроизводства? как осуществлять проверкe конфиденциального делопроизводства (плановая, внеплановая) Процедурные вопросы: • Какой порядок создания конфиденциальных документов? • Какой порядок ведения черновых конфиденциальных записей? • Какой порядок уничтожения конфиденциальных документов (коллегиальность решения, использование шредеров, регистрация об уничтожении и т.д.)? • Какой порядок пользования конфиденциальными документами? • Какой порядок размножения (копирования) конфиденциальных документов? • Какой порядок распечатывания конфиденциальных документов? • Какая процедура индексации документов? • Как осуществлять прием-передачу конфиденциальных документов (в том числе при уходе в отпуск, болезни и т.д.)? • Какой порядок учета ознакомления с конфиденциальными документами? • Какой порядок ведения конфиденциальных документов в актуальном состоянии? • Какой порядок конвертования конфиденциальных документов? • Какой порядок доклада и подписи конфиденциальных документов? • Какая роль секретарей в работе с конфиденциальными документами? • Какая процедура регистрации документов? • Как осуществлять поиск документов (по дате, по номерам, по тематике, по исполнителям и т.д.)? • Как осуществлять санкционированные выписки из конфиденциальных документов? • Как формировать дела с конфиденциальными документами? • Как осуществлять рассылку конфиденциальных документов? • Какой порядок выноса конфиденциальных документов с контролируемой территории? • Какой порядок работы с конфиденциальными документами в командировках? • Как осуществлять контроль и учет конфиденциальных документов (в бумажном или в электронном исполнении)? • Какой порядок перемещения конфиденциальных документов между территориально удаленными объектами компании? • Как создать карточку конфиденциальности документа? Технические вопросы: • Как оборудовать помещения, где находятся конфиденциальные документы? • Как обеспечить физическую сохранность конфиденциальных документов при их хранении? • Как осуществить защиту конфиденциальных документов от аппаратуры промышленного шпионажа? Вопросы IT безопасности • Как осуществлять защиту конфиденциального документа, представленного в электронном виде? • Какие использовать средства криптографической защиты информации? • Где расположить сервер с конфиденциальными документам, представленными в электронном виде, и какой будет порядок доступа к ним? • Как осуществлять резервное копирование конфиденциальных документов, представленных в электронном виде? • Как осуществлять антивирусную защиту? Кадровые вопросы: • Какой перечень сотрудников (должностей), имеющих право на доступ к конфиденциальным документам (в том числе есть ли этот доступ у юристов, финансистов и редакторов)? • Как оформлять обязательство сотрудника о сохранении информации, содержащейся в конфиденциальных документах? • Какой порядок проведения проверок сотрудников, работающих с конфиденциальными документами? • Какая будет мотивация персонала, работающего с конфиденциальными документами? • Как организовать обучение персонала, работающего с конфиденциальными документами? • Какой порядок оформления разрешения (допуска) на работу с конфиденциальными документами? • Какие возможны превентивные мероприятия, направленные на недопущение разглашения конфиденциальной информации сотрудниками, работающими с конфиденциальными документами? • Какой порядок проведения внутренних расследований по фактам разглашения конфиденциальной информации? Материально-технические вопросы: • Какие закупить сейфы для сохранности конфиденциальных документов? • Какие закупить шредеры для уничтожения конфиденциальных документов? Вопросы по созданию архива • Где расположить архив конфиденциальных документов? • Как осуществлять выдачу конфиденциальных документов из архива (кто имеет право получать документы, срок возвращения, контроль за возвращением документов и т.д.)? • Какой порядок работы экспертной комиссии? Порядок создания конфиденциального делопроизводства Порядок создания делопроизводства материальных документов: 1 этап – создание Секретариата (подразделения, отвечающего за делопроизводство) или введение в штат должности, в чьи функциональные обязанности будет входить обеспечение делопроизводства организации. 2 этап – определение как будут создаваться, учитываться, перемещаться и храниться документы. 3 этап – закупка необходимых принадлежностей для функционирования делопроизводства (сейфы, печати, оборудование для помещений и т.д.). 4 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.). 5 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей. 6 этап – создание механизмов контроля за соблюдением делопроизводства. 7 этап – создание механизма ответственности за нарушение правил делопроизводства. Делопроизводство должно быть организовано в соответствии с ГОСТами, применяемыми в Российской Федерации. Основа – ГОСТ 6.30–97 "Унифицированные системы документации. Система организационно–распорядительной документации. Требования к оформлению документов". Создание делопроизводства материальных конфиденциальных документов. Порядок создания. 1 этап - создание делопроизводства открытых материальных документов. 2 этап - определение перечня сведений конфиденциального характера и документов, содержащих конфиденциальные сведения. 3 этап - утверждение перечня сведений конфиденциального характера у руководства, определение порядка и сроков пересмотра данного перечня, а также снятие грифа конфиденциальности. 4 этап - определение правил делопроизводства материальных конфиденциальных документов (создание, регистрация, перемещение, хранение, уничтожение документов) на основе делопроизводства материальных документов. 5 этап – определение технических, инженерно-технических и IT решений по защите материальных конфиденциальных документов и их электронных копий. 6 этап – определение порядка допуска сотрудников к сведениям конфиденциального характера. 7 этап – заключение договоров о сохранении конфиденциальной информацией между компанией и сотрудниками, допущенными к работе с конфиденциальной информацией. 8 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.). 9 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей. 10 этап – создание механизмов контроля за соблюдением делопроизводства материальных конфиденциальных документов. 11 этап – создание механизма ответственности за нарушение правил делопроизводства материальных конфиденциальных документов. Составные части делопроизводства материальных документов: 1. Делопроизводство, связанное со стандартными, но специфическими задачами: • бухгалтерия; • учредительные документы; • судебно-процессуальные документы; • договорные документы и т.д. 2. Внешнее делопроизводство: • доставка входящей корреспонденции (в бумажном виде, в виде факса и т.д.); • отправление исходящей корреспонденции (в бумажном виде, в виде факса и т.д.); 3. Внутреннее делопроизводство: • хранение документов (у сотрудников, в Секретариате); • создание документов; • издание нормативных документов руководством организации (приказы, распоряжения и т.д.); • регистрация документа в Секретариате; • движение документа внутри организации. Создание реестровой системы передачи документов; размножение документов (снятие копий); • контроль за исполнением документов; • создание архивов документов. Экспертиза ценности документов. Возможность использования в работе документов, определенных в архив; • уничтожение документов. Необходимые нормативные документы для функционирования делопроизводства, в том числе конфиденциального: 1. О внесении изменений и дополнений в нормативно-правовые документы организации: • в Устав организации; • в "Коллективный договор"; • в правила внутреннего трудового распорядка для сотрудников; • в трудовой договор; • во все заключаемые договора. 2. Договор между компанией и сотрудником о сохранении конфиденциальной информации. 3. Инструкция по обеспечению сохранности конфиденциальной информации в компании. Примерный план инструкции: • общие положения; • определение информации и обозначение документов, содержащих конфиденциальную информацию, и сроков ее действия; • организация работы с конфиденциальными документами; • порядок сохранности документов, дел и изданий, содержащих конфиденциальную информацию; • порядок допуска к сведениям, составляющим конфиденциальную информацию; • контроль за выполнением требований внутриобъектового режима при работе со сведениями, содержащими конфиденциальную информацию; • обязанности сотрудников компании, работающих со сведениями конфиденциального характера, и ответственность за их разглашение. 4. Инструкция по организации делопроизводства. Инструкция должна состоять из следующих разделов: • общие положения; • правила составления и оформления документов; • составление и оформление основных видов документов; • организация документооборота: • порядок движения и обработки входящих документов; • порядок движения и обработки исходящих документов; • порядок движения и обработки внутренних документов; • регистрация документов; • контроль исполнения документов; • систематизация документов; • разработка номенклатуры дел; • формирование дел; • подготовка документов к архивному хранению; • экспертиза ценности документов; • описание документов постоянного и временного сроков хранения; • обеспечение сохранности дел; • передача дел в архив; 5. Кроме того, Инструкция по организации делопроизводства должна иметь ряд приложений: • примерный перечень документов, не подлежащих регистрации; • перечень документов, на которые ставится печать; • перечень документов, подлежащих утверждению; • перечень документов, подлежащих согласованию; • форма регистрационной контрольной карточки; • перечень документов, подлежащих контролю за исполнением, с указанием сроков хранения; • акт о выделении к уничтожению документов с истекшими сроками хранения; • внутренняя опись документов дела; • опись дел, передаваемых на архивное хранение. 6. Инструкция по конфиденциальному делопроизводству. Она включает: • определение порядка выноса-вноса конфиденциальных документов применительно к охраняемой территории; • определение порядка работы с конфиденциальными документами вне служебных помещений; • изготовление и использование бланков организации, печатей и штампов; • определение порядка использования бланков строгой отчетности (бланков компании, подготавливаемых за подписью первых лиц); • порядок передачи конфиденциальных документов в случае ухода в отпуск, командировку или увольнения с работы; • определение порядка подготовки конфиденциальных документов, его согласование, в том числе с юристами, финансистами, а также порядок подписи конфиденциальных документов; • определение порядка пересылки конфиденциальных документов вне контролируемых помещений. положение о Секретариате; • должностные обязанности сотрудников Секретариата по обеспечению делопроизводства. Делопроизводство электронных конфиденциальных документов должно состоять из следующих взаимосвязанных систем: • системы документооборота электронных конфиденциальных документов; • системы информационного хранилища электронных конфиденциальных документов (архив); • системы защиты электронных конфиденциальных документов; • системы сопряжения документообоотов (материальных и электронных конфиденциальных документов. Система документооборота электронных конфиденциальных документов должна предусматривать следующие возможности: 1. Создание электронного конфиденциального документа: • создание электронных документов с помощью текстовых редакторов, включая создание электронных документов по типовым формам; • создание составных электронных документов, состоящих из нескольких разных по формату файлов; • создание электронных документов с помощью сканирования документа на материальном носителе; • создание электронных документов с помощью иных электронных данных, полученных с помощью электронной почты, корпоративной компьютерной сети, устройств ввода компьютерной информации и т.д. 2. Использование электронной цифровой подписи для подтверждения авторства и подлинности электронного конфиденциального документа. 3. Работа с электронными конфиденциальными документами различных форматов (текстовых, графических и т.д.). 4. Создание регистрационных карточек электронных документов, связки регистрационной карточки с электронным документом и присвоение необходимых реквизитов, среди которых: • дата создания, получения, исполнения; • регистрационный номер; • фамилия, имя, отчество исполнителя, адресата; • права доступа; • конфиденциальность; • количество листов и т.д. 5. Разделение документов по виду конфиденциальности, присвоение каждому документу грифа конфиденциальности и разграничение права пользователей работы с конфиденциальными документами по мандатному принципу. 6. Получение и отправление электронных конфиденциальных документов по корпоративной компьютерной сети, а также по электронной почте. 7. Работа с взаимосвязанными документами, поддержание возможности установления гиперссылок между учетными карточками или документами, связанных тематически, отменяющих или дополняющих друг друга. 8. Контроль передвижения электронных конфиденциальных документов по сети и контроль ознакомления с ними, а также контроль за копированием, редактированием и размножением электронных конфиденциальных документов. 9. Контроль исполнения резолюций, поручений, сроков исполнения, а также возможность сигнального режима, как составной части контроля. 10. Поиск электронных конфиденциальных документов по: • реквизитам; • ключевым словам; • содержанию; • дате создания; • контрольным срокам; • исполнителю и т.д. 11. Анализ электронных конфиденциальных документов по: • тематике; • проблематике; • исполнителям; • резолюциям; • дате создания и т.д. • дублирование (архивирование) электронных конфиденциальных документов с заданной периодичностью; • разделение конфиденциального и открытого делопроизводства электронных документов. Система информационного хранилища электронных конфиденциальных документов должна предусматривать возможность: • систематизации поступающих в хранилище электронных конфиденциальных документов различных видов и форм и упорядочения работы с ними; • сохранения электронных конфиденциальных документов в массивах хранилища; • отслеживания движения электронных конфиденциальных документов, выдаваемых сотрудникам, контроля и обеспечения их возврата или уничтожения; • обеспечения эффективного поиска нужных электронных конфиденциальных документов в хранилище по идентификационным признакам; • обеспечения подтверждения легитимности электронной цифровой подписи, применяемой для подтверждения авторства и подлинности электронных конфиденциальных документов; • обеспечения режима безопасности электронных конфиденциальных документов в процессе их хранения, передачи в хранилище или получения из хранилища за счет использования современных технологий и средств информационной безопасности, а также разграничение доступа пользователей. Система защиты электронных конфиденциальных документов должна состоять из следующих взаимосвязанных блоков: • блок технических (программных) средств защиты электронных конфиденциальных документов; • блок защиты электронных конфиденциальных документов, связанных с человеческим фактором; • блок организационных методов защиты электронных конфиденциальных документов. Блок технических (программных) средств защиты электронных конфиденциальных документов состоит из рубежей: 1 рубеж – системы защиты информации, предусмотренные программным обеспечением, на которой работает компьютерная сеть (средства защиты Windows, Office и т.д.); 2 рубеж – системы защиты информации, встроенные в саму систему делопроизводства электронных конфиденциальных документов; 3 рубеж – системы защиты информации, дополнительно установленные в компьютерной сети на сервере и на рабочих местах пользователей. Блок технических (программных) средств защиты электронных конфиденциальных документов должен предусматривать: • криптографическую защиту информации при хранении и при перемещении электронных конфиденциальных документов по корпоративной компьютерной сети, сети Интернет, электронной почте; • защиту информации от несанкционированного доступа; • мандатный принцип доступа пользователей к информационным ресурсам конфиденциального делопроизводства; • контроль и защиту электронного конфиденциального документа от просмотра, изменения, копирования, распечатывания (перевода электронного документа в материальную форму); • контроль целостности и достоверности электронного конфиденциального документа, а также подтверждение авторства исполнителя с помощью электронной цифровой подписи; • защиту от вредоносных программ (вирусов). Система сопряжения документообоотов (материальных и электронных конфиденциальных документов предусматривает возможность: • перевода материального конфиденциального документа в электронный конфиденциальный документ; • перевода электронного конфиденциального документа в материальный конфиденциальный документ; • параллельного хождения одного и того же документа в электронном и материальном виде. Вернуться назад |