Правила организации конфиденциального документооборота

Жизненный цикл документов, содержащих конфиденциальную информацию, в делопроизводстве начинается с момента поступления документа в организацию или с момента его создания и завершается уничтожением документа (проекта документа) или передачей документа на архивное хранение. Движение документов, содержащих конфиденциальную информацию (далее – КД), в организации на протяжении их жизненного цикла называется конфиденциальным документооборотом.

Целью «открытого» документооборота является обеспечение своевременного исполнения документов или их использования. В отличие от «открытого» документооборота конфиденциальный документооборот имеет еще одну цель - защита документов от несанкционированного доступа и предотвращение утечки конфиденциальной информации. По этой причине конфиденциальный документооборот называют еще защищенным документооборотом. Защищенный документооборот - контролируемое движение конфиденциальных документов по регламентированным пунктам обработки в жестких условиях организационного и технологического обеспечения безопасности носителя информации и самой информации.

Конфиденциальный документооборот: риски и угрозы

КД в процессе документооборота подвергаются различным угрозам:

- кража (хищение) документа или отдельных его частей, носителя чернового варианта документа (проекта документа) или рабочих записей;

- несанкционированное копирование бумажных и электронных документов, запоминание текста документа;

- тайное или разрешенное ознакомление сотрудника фирмы с документом и сообщение информации злоумышленнику;

- подмена документов, носителей и их отдельных частей;

- дистанционный просмотр документов и изображений на мониторе персонального компьютера с помощью технических средств;

- ошибочные (умышленные или случайные) действия персонала при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами и др.);

- случайное или умышленное уничтожение документов, несанкционированная модификация и искажение текста;

- ошибочные (умышленные или случайные) действия персонала при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами и др.);

- случайное или умышленное уничтожение документов, несанкционированная модификация и искажение текста и др.

Правила конфиденциального документооборота

Конечно, для защиты КД от несанкционированного доступа и несанкционированного распространения недостаточно только мер, предпринимаемых в рамках конфиденциального документооборота, на это направлена вся система безопасности организации, но значительная часть предпринимаемых мер осуществляется именно в рамках конфиденциального документооборота.

Рассмотрим наиболее важные правила конфиденциального документооборота.

1. Централизация всех стадий, процедур и операций по обработке и хранению конфиденциальных документов. Это правило означает, что все операции по приему, отправке, обработке, хранению КД в организации осуществляются в подразделении (отделе, группе) конфиденциального делопроизводства или специально выделенным сотрудником подразделения общего делопроизводства. Типичной ошибкой в организации конфиденциального документооборота является его построение по аналогии с «открытым» документооборотом. Выражается это, в частности, в том, что специалист по конфиденциальному делопроизводству при обработке поступающих КД присваивает поступившему документу порядковый номер, фиксирует дату поступления, передает документ руководству, а затем в подразделение или сразу в подразделение, после чего вся ответственность за организацию работы с КД, отслеживание их перемещений в процессе исполнения ложится на сотрудника, организующего работу с документами в подразделениями. В этом случае у сотрудника, отвечающего за работу с КД в рамках всей организации, формируется не полный массив данных о перемещениях КД, он может проследить перемещения документа, в лучшем случае, до структурного подразделения.

Такая ошибка, к сожалению, присуща многим организациям, работающим с КД, но не имеющим достаточных финансовых и организационных возможностей правильно организовать работу с ними или не придающими этому достаточного внимания. 

2. Пооперационный учет всех действий, совершаемых с КД, учет каждого факта "жизненного цикла" документа. Соблюдение этого правила необходимо для формирования такого массива данных о КД, который в любой момент времени может дать информацию о месте нахождения каждого КД, операциях, совершенных или совершаемых с ним. Можно сказать, что в конфиденциальном документообороте главное – это учет, как документов, так и всех действий, совершаемых с документом. Это правило серьезно отличает конфиденциальный документооборот от «открытого» документооборота, которое основывается на регистрации документов и отслеживании отдельных перемещений документа.

3. Учет всех без исключения КД, включая копии КД. В конфиденциальном делопроизводстве не существует понятий «регистрируемые» и «нерегистрируемые» документы. Все КД, как поступающие, так и создаваемые в организации подлежат учету. Кроме того, следует иметь в виду, что в системе конфиденциального делопроизводства учету подлежат не только КД, но и проекты документов, носители информации, используемые для подготовки документов (листы бумаги, блокноты, магнитные и иные носители), пакеты (конверты) при их поступлении в организацию. Если КД копируется, учету подлежат все экземпляры (копии) КД.

4. Выполнение любых перемещений КД и иных операций под роспись руководителей, исполнителей и технического персонала. Это правило означает, что при осуществлении операций, связанных с приемом-передачей КД, проверкой их сохранности, целостности и комплектности и др., запись о совершенном действии в учетной форме осуществляется под роспись того лица, на которого переходит ответственность за КД после совершения данной операции. Например, отпечатанный в подразделении конфиденциального делопроизводства КД, передается исполнителю, исполнитель должен расписаться в учетной форме, подтверждая факт получения документа. Сотрудник подразделения конфиденциального делопроизводства должен строго следить за соблюдением этого правила. Даже при передаче КД на рассмотрение руководителя организации нельзя пренебрегать этим правилом, иначе, если произойдет утрата документа, трудно будет доказать, кто несет за это ответственность. При отсутствии подписи руководителя в учетной форме ответственность будет лежать на подразделении конфиденциального делопроизводства.

5. Проверка комплектности, целостности документа при любом перемещении КД. Для выполнения этого правила работник подразделения конфиденциального делопроизводства должен при каждом получении или передаче КД пересчитывать количество листов основного документа, количество приложений и количество листов приложений для подтверждения целостности и комплектности КД. При этом в учетной форме и на самом документе отмечается количество листов основного документа и количество приложений и листов приложений. На документе эти сведения проставляются в составе отметки о поступлении (входящем штампе), где наряду с датой и номером поступления указываются перечисленные данные, например:

16.04.2008 вх. № 58к

5 л. + 3 прил. 6 л. 

6. Письменная фиксация всех обращений персонала к документу. Соблюдение этого правила требует фиксировать в учетных формах не только те действия, которые санкционированы и совершаются в соответствии с нормативными актами организации, но и несанкционированные действия, совершаемые с КД, например, факты получения доступа (даже случайного) к КД тех работников или сторонних лиц, которым доступ к этим документам не разрешен. Эта информация может оказаться важной в том случае, если произойдет утечка и разглашение конфиденциальной информации и необходимо будет установить канал утечки этой информации. Сведения о фактах несанкционированного доступа к КД фиксируются в учетной форме (журнале, карточке КД или в базе данных, если в организации ведется автоматизированный учет КД).

7. Учет и обеспечение сохранности не только документов, но и учетных форм. Поскольку в основе организации конфиденциального документооборота лежит учет документов и всех действий, совершаемых с документом, большое значение приобретают сами учетные формы: журналы, картотеки, автоматизированные базы данных. Поскольку, как сказано выше, конфиденциальный документооборот строится на пооперационном учете, а сами операции осуществляются под роспись работника, чаще всего в качестве учетных форм используются журналы или регистрационно-учетные карточки на бумажном носителе. Если учет ведется в автоматизированной базе данных, где фиксируются совершаемые с документом действия и операции, учет приема-передачи КД ведется в так называемом передаточном журнале на бумажном носителе. Учитывая, что учету подлежат не только КД, но проекты документов, пакеты и др., в подразделении конфиденциального делопроизводства, как правило, ведется много учетных форм. Это и заставляет вводить еще и учет самих учетных форм, как правило, журнал учета учетных форм, который может вестись как на бумажном носителе, так и в электронном виде.

8. Письменное санкционирование руководителем процедур копирования конфиденциальных документов, контроль технологии выполнения этих процедур. Количество копий КД должно быть ограниченным и определяться деловыми потребностями. Решение о копировании КД может принимать руководитель организации, его заместители или руководитель службы безопасности организации. Как правило, с КД снимается ограниченное количество копий.

9. Коллегиальность процедуры уничтожения документов, дел и баз данных. Это правило требует, чтобы в процедуре уничтожения проектов, черновиков, КД участвовало не менее двух работников. Уничтожение документов, проектов документов, черновиков производится только по акту.

10. Строгий контроль выполнения персоналом правил работы с конфиденциальными документами, делами и базами данных. Одно из требований правильной организации работы с КД – постоянный контроль организации работы с КД, особенно в период их нахождения у исполнителей. Практика показывает, что КД подвергается самым сильным угрозам именно тогда, когда КД находится у исполнителя. Подразделение конфиденциального делопроизводства должно проводить плановые и внеплановые проверки организации работы исполнителей с КД. В то же время служба информационной безопасности или руководство организации проводит проверки организации работы с КД в подразделении конфиденциального делопроизводства.