Технологии обработки конфиденциальных документов

В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли, сохранения в целостности созданной им организационной структуры и поддержания эффективности ее функционирования является обеспечение экономической безопасности деятельности.

Под экономической безопасностью предпринимательской деятельности понимается защищенность деловых интересов каждого творческого коллектива, предприятия и предпринимателя в большом и малом бизнесе. В зарубежной практике термин «экономическая безопасность» обычно не используется, так как поглощается термином «безопасность предпринимательской деятельности от недобросовестной конкуренции». Термин «экономическая безопасность» в значительной степени отражает специфичность современной российской экономики, в которой существенное место занимает обширная криминализация деловой сферы и всеохватывающая коррупция государственных структур.

Одной из главных составных частей экономической безопасности (одновременно с правовой, маркетинговой) является информационная безопасность. Информационная безопасность носит концептуальный характер и предполагает решение комплекса задач поддержания информационных ресурсов организации в безопасном состоянии.

Концепция информационной безопасности основывается на аналитических исследованиях потенциальных и реальных угроз этим ресурсам, систематической работе по определению и эволюции состава ценной, конфиденциальной информации и формированию в соответствии с этим динамичной и достаточной структуры задач по защите информации.

Информационная безопасность предполагает защищенность конфиденциальной информации на любых носителях в информационных системах любых типов от случайных и преднамеренных несанкционированных воздействий естественного или искусственного свойства, направленных на уничтожение, разрушение, видоизменение тех или иных данных, изменение степени доступности ценных сведений.

Целью информационной безопасности является безопасность информационных ресурсов в любой момент времени и в любой обстановке. Под безопасностью информационных ресурсов (информации) понимается относительно гарантированная в конкретной ситуации защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования организации и условиях экстремальных ситуаций.

Проблемы обеспечения безопасности информации становятся все более сложными и значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу и электронный документооборот. При всей прогрессивности этого перехода одновременно существенно расширяется и содержательно обновляется комплекс организационных, технических и технологических трудностей в предотвращении вмешательства в информационные ресурсы, которые стали легкой добычей посторонних лиц.

Подобные проблемы особенно характерны для коммерческих, негосударственных структур. В недалеком прошлом главная опасность состояла в утрате конфиденциальных документов, разглашении ценных сведений или их утечке по техническим каналам. Сейчас получило широкое развитие тайное оперирование электронными документами, сведениями в компьютерных базах данных, незаконное использование электронных массивов и последующее извлечение материальной выгоды из таких действий.

В этих условиях особенно важно учитывать, что защита электронной конфиденциальной информации осуществляется не только и не столько программно-аппаратными, криптографическими и техническими методами и средствами. Она невозможна без соблюдения требований ее защиты правовыми и организационными методами, что несущественно для автоматизированной обработки открытой информации. При игнорировании этих требований, требований комплексности защиты, уязвимость информации на магнитных, бумажных и иных носителях резко возрастает, и гарантировать в этих условиях безопасность информационных ресурсов невозможно.

Сформированные в рамках концепции информационной безопасности перспективные и текущие задачи защиты информации являются определяющими при формировании и постоянной актуализации технологического процесса защиты, предупреждающего нарушение доступности, сохранности, целостности, достоверности и конфиденциальности ценных информационных ресурсов предприятия. Решение указанных задач основывается на принципе персональной ответственности руководителей всех уровней и персонала организации за использование информации в соответствии с действующим законодательством и их функциональными обязанностями.

Предполагается, что защита ценной информации осуществляется, прежде всего, от главной опасности - несанкционированного доступа или ознакомления с информацией постороннего лица и в результате этого копирования, разглашения, уничтожения, фальсификации, искажения, незаконного оперирования, модификации, подмены и других угроз. Следует учитывать, что архитектура системы защиты должна охватывать не только электронные информационные системы, но и весь управленческий комплекс организации в единстве его реальных функциональных и структурных частей, традиционных документационных процессов. Отказаться от бумажных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации.

Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате.

Наиболее ценными являются сведения о производстве и продукции, рынке, научных разработках, материально-техническом обеспечении организации, условиях контрактных переговоров, сведения о персонале, системе безопасности предприятия. Больше всего конкурентов интересует информация о динамике сбыта продукции и эффективности предоставляемых предприятием услуг. В России сфера интересов конкурента обычно включает, в первую очередь, финансовую деятельность организации и направления обеспечения безопасности работы предприятия.

К разряду ценных и всегда подлежащих защите относятся сведения, составляющие производственную или коммерческую тайну сотрудничающих с организацией партнеров, заказчиков и клиентов.

В соответствии с основополагающими принципами обеспечения безопасности информационных ресурсов предприятия сведения могут быть: открытыми, т.е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях, интервью и т.п.; и ограниченного доступа и использования, т.е. содержащими тот или иной вид тайны и подлежащими защите, охране, наблюдению и контролю.

Под информационными ресурсами, отнесенными к категории ограниченного доступа к ним персонала и иных лиц, подразумевается документированная на любом носителе (бумажном, магнитном, фотографическом и др.) ценная текстовая, изобразительная или электронная информация, отражающая приоритетные достижения в области государственной, экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам государства или ее собственника.

Законодательство Российской Федерации запрещает относить к информации ограниченного доступа:

• законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной и исполнительной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
• документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
• документы, содержащие информацию о деятельности органов государственной и исполнительной власти и органов местного самоуправления об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;
• документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной и исполнительной власти, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

Ценная общедоступная информация охраняется нормами информационного права (патентного, авторского, смежных прав и др.). Ценная информация ограниченного доступа дополнительно защищается регламентацией сферы и специально установленного порядка ее распространения, использования и обработки.

Конфиденциальные документы включают в себя:

• в государственных структурах - документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения, содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати;
• в предпринимательских структурах - документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне организации, тайне мастерства;
• независимо от принадлежности - документы и базы данных, фиксирующие любые персональные данные о гражданах, содержащие профессиональную тайну, обеспечивающую защиту личной или семейной тайны граждан, а также содержащие технические и технологические новшества (до их патентования), тайну предприятий связи сферы обслуживания и других структур.

Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.

Особенностью конфиденциального документа является то, что он представляет собой одновременно:

• массовый носитель ценной, защищаемой информации;
• основной источник накопления и объективного распространения этой информации, а также ее неправомерного разглашения или утечки;
• обязательный объект защиты.

Важно, что собственная ценная информация предпринимателя, подлежащая защите, не обязательно является конфиденциальной. Обычный правовой документ важно сохранить в целостности и сохранности. Защите подлежит любая официальная документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее воспроизводства, опубликования и перехода в число общеизвестных. Степень ценности информации и необходимая надежность ее защиты находятся в прямой зависимости. При этом предприниматель всегда решает один принципиальный вопрос: использовать ценную информацию для производства товаров, их продажи или, запатентовав новшество, иметь прибыль от продажи лицензий. При решении вопроса учитывается, что защита ценной информации стоит дорого и всегда есть опасность потерять ее в результате действий конкурента.

В соответствии с этим конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала организации (от нескольких часов до значительного числа лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с письменного разрешения первого руководителя предприятия снимается.

Оставшиеся конфиденциальными исполненные документы, сохраняющие ценность для деятельности предприятия, формируются в дела в соответствии с номенклатурой дел. Период нахождения конфиденциальных документов в делах может быть кратковременным или долговременным в зависимости от ценности информации, содержащейся в документах дела. Период конфиденциальности документов зависит от специфики деятельности предприятия. Например, производственные, научно-исследовательские организации обладают значительно более ценными документами, чем торговые, посреднические и др.

Можно предположить, что в среднем кратковременный период конфиденциальности составляет 1-3 года, долговременный - свыше этого срока. Документы, относимые к производственной, профессиональной тайне, а также содержащие персональные сведения о гражданах, могут сохранять конфиденциальность в течение длительного времени. Однако при этом не следует отождествлять два разных понятия - срок хранения документов и период их конфиденциальности, хотя конфиденциальные документы характеризуются и тем и другим понятиями. Период конфиденциальности может быть длиннее, чем срок хранения документов и дел.

Документы долговременного периода конфиденциальности (программы и планы развития бизнеса, технологическая документация ноу-хау, изобретения и др.) имеют усложненный вариант обработки и хранения, обеспечивающий безопасность информации и ее носителя. Документы кратковременного периода конфиденциальности, имеющие оперативное значение для деятельности предприятия, обрабатываются и хранятся по упрощенной схеме и могут не выделяться из технологической системы обработки открытых документов при наличии в этой системе минимальных защитных, контрольных и аналитических элементов.

Следовательно, в основе безопасности информационных ресурсов ограниченного доступа лежит выработка критериев ценности документированной информации (документов) для предпринимателя и отнесения их к категории конфиденциальных. Главными аспектами, характеризующими конфиденциальные документы, являются наличие их в различных по типу организационных структурах и объективная нестабильность продолжительности срока ограничения доступа к ним персонала.

Процесс выявления и регламентации реального состава информации, представляющей ценность для предприятия, является основополагающей частью системы защиты информации.

Принимая во внимание, что система защиты ценной и конфиденциальной информации является дорогостоящей технологией, определение состава сведений, подлежащих защите, должно базироваться на принципе экономической целесообразности их защиты. Поэтому анализ информационных ресурсов предприятия осуществляется с учетом двух основных критериев: степени заинтересованности конкурентов в информации и степени ценности информации (стоимостной, правовой, деловой).

Для анализа необходимо иметь не только полный перечень реальных и потенциальных конкурентов, но и знать слабые и сильные стороны их деятельности, обладать информацией о состоянии дел у каждого конкурента и разрабатываемых новшествах. На этой основе можно с полной уверенностью определить, какую информацию организация не хотела бы раскрывать конкурентам. Необходимо также определить экономическую значимость новшества, рассчитать величину ущерба от его утраты и на этой основе сделать вывод о том, является ли оно предметом коммерческой тайны и объектом защиты.

Следует учитывать, что вопрос о конфиденциальности информации возникает в случаях: принятия фирмой новой стратегии развития, заключения выгодных контрактов, появления технического или технологического новшества, установления факта потенциальной или реальной угрозы этому новшеству со стороны конкурента. При определении размера ущерба от возможной утраты информации учитывается стоимость продукции, которая не будет произведена, потери от замораживания капитальных вложений, стоимость произведенных, научно-исследовательских работ и другие убытки.

В процессе анализа выделяются главные элементы информации, что дает возможность удешевить систему защиты и сделать ее максимально целенаправленной, динамичной и эффективной. Защита новшества, включая общеизвестные его составляющие, как правило, желаемого результата, не дает, за счет громоздкости системы защиты и трудности контроля больших объемов конфиденциальной информации. Массовость засекречивания ведет к росту штатной численности служб безопасности и, в конечном счете, к снижению эффективности защиты и утрате информации.

Информация может быть отнесена к коммерческой (предпринимательской) тайне и стать конфиденциальной при соблюдении следующих условий:

• информация не должна отражать негативные стороны деятельности предприятия, нарушения законодательства, фальсификацию финансовой деятельности с целью неуплаты налогов и другие подобные факты;
• информация не должна быть общедоступной или общеизвестной;
• возникновение или получение информации предпринимателем должно быть законным и связано с расходованием материального, финансового или интеллектуального потенциала организации;
• персонал предприятия должен знать о ценности такой информации и быть обучен правилам работы с ней;
• предприниматель должен быть в состоянии выполнить реальные действия по защите этой информации, т.е. иметь, например, средства для закупки или разработки системы защиты информации.

В соответствии с Приказом ГТК РФ от 08.07.1997 «О перечне сведений конфиденциального характера» к конфиденциальным не могут быть отнесены следующие сведения и документы:

• учредительные документы (решение о создании предприятия или договор учредителей) и устав;
• документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
• сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
• документы о платежеспособности;
• сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
• документы об уплате налогов и обязательных платежей;
• сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства Российской Федерации и размерах причиненного при этом ущерба;
• сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.

В отличие от государственной тайны состав сведений, составляющих коммерческую тайну, государством централизованно не регламентируется и определяется индивидуально каждым предприятием. Одновременно организация устанавливает необходимый уровень конфиденциальности этих сведений, степень требуемой их защиты, длительность защиты, ее стоимость и технологию. Состав ценной и конфиденциальной информации, подлежащей защите, определяется собственником или владельцем этих сведений и фиксируется в специальном перечне. В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля.

Перечень конфиденциальных сведений предприятия представляет собой классифицированный список типовой и конкретной ценной информации о выполняемых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В нем закрепляется факт отнесения сведений к защищаемой информации и определяется период (срок) конфиденциальности (т.е. недоступности для всех) этих сведений, уровень (гриф) их конфиденциальности, список должностей сотрудников предприятия, которым дано право использовать эти сведения в работе (Приложение 9).

Перечень является постоянным рабочим материалом руководства предприятия, служб безопасности и конфиденциальной документации. Поэтому он должен регулярно обновляться и корректироваться. Ограничение доступа к информации, относящейся к новой продукции, но не обладающей ценностью, применяться не должно.

Важной задачей перечня является дробление коммерческой тайны на отдельные информационные элементы, известные разным лицам. Закрепление части информации за конкретными должностями позволяет снизить вероятность раскрытия секрета сотрудниками и предотвратить возможность включения ими в документы конфиденциальной информации.

Перечень необходим также для выделения конфиденциальных документов из общего документопотока, соответствующего их маркирования (грифования) и автономной обработки, использования и хранения. При рассмотрении в судах дел об использовании сотрудниками информации и понесенных фирмой в связи с этим убытках перечень используется в качестве доказательства отнесения этих сведений к разряду конфиденциальных.

Перевод сведений, включенных в перечень, из категории конфиденциальных в категорию открытых, т.е. исключение сведений из перечня, осуществляется комиссией по представлению руководства предприятия, структурных подразделений и службы безопасности.

В перечне должно быть положение о том, что сохранение коммерческой тайны партнеров является неотъемлемой частью деятельности предприятия. Открытая публикация сведений, полученных на договорной или доверительной основе или являющихся результатом совместной производственной деятельности, допускается лишь с общего согласия партнеров.

При заключении любого договора (контракта) стороны должны брать на себя взаимные письменные обязательства по защите конфиденциальной информации другой стороны и документов, полученных при переговорах, и исполнению условий договора.

Следовательно, в целях определения состава защищаемых сведений и документов каждая организация должна составлять и регулярно обновлять соответствующие перечни, без которых система защиты информации предприятия не может функционировать. Важно, что эти перечни носят индивидуальный характер для каждой организации и отражают реальную информационную сферу направлений ее деятельности, требования собственника информации по ограничению доступа персонала к информации, составляющей интеллектуальную собственность предприятия.

Важно, что в отличие от открытых документов процесс документирования конфиденциальной информации насыщен специфическими технологическими этапами и процедурами.

Выделяются следующие основные этапы:

• получение разрешения на издание конфиденциального документа;
• установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ;
• составление вариантов и черновика текста документа;
• получение разрешения на изготовление документа;
• учет подготовленного черновика конфиденциального документа;
• изготовление проекта конфиденциального документа;
• издание конфиденциального документа.

Указанные этапы характеризуются не только регламентированной технологией, но и жесткими правилами работы исполнителей с конфиденциальной информацией. Передача конфиденциальной информации в интересах дела партнерам, посредникам, работникам государственных учреждений допускается только в случаях, установленных законодательством или соответствующим пунктом в контракте, и только по их письменному запросу с указанием конкретного состава и назначения требуемых сведений. Информация передается им также всегда в письменном виде за подписью руководителя предприятия и с информированием об этом руководителя службы безопасности. Передача конфиденциальных сведений в устной форме не разрешается.

Общеизвестно, что в наибольшей безопасности находится конфиденциальная информация, не зафиксированная на каком-либо носителе. Риск потери ценной информации появляется немедленно при возникновении мысли о необходимости ее документирования. В связи с этим система защиты конфиденциальной информации должна начинать функционировать не после издания (подписания) конфиденциального документа, а заблаговременно. Еще до создания документа необходимо решить: является ли данная информация конфиденциальной и если да, то какой уровень грифа конфиденциальности ей должен быть присвоен.

Руководители предприятия и структурных подразделений, филиалов имеют право присваивать гриф конфиденциальности любому разрешенному для издания, но не включенному в перечень документу, если это не противоречит действующему законодательству. Система грифования (маркирования) документов не гарантирует сохранность информации, однако позволяет четко организовать работу с документами, и в частности сформировать систему доступа к документам персонала.

Гриф конфиденциальности или гриф ограничения доступа к традиционному, машиночитаемому или электронному документу представляет собой реквизит документа, свидетельствующий о конфиденциальности содержащихся в документе сведений и проставляемый на самом документе и (или) сопроводительном письме к нему. Грифы ставятся на всех экземплярах документа, учетных и отчетных формах, черновиках, вариантах и копиях, в которых содержится хотя бы один из конфиденциальных показателей.

Информация и документы, отнесенные к коммерческой (предпринимательской) тайне, имеют несколько уровней грифа ограничения доступа, соответствующих различным степеням конфиденциальности информации («Конфиденциально», «Конфиденциальная информация», «Коммерческая тайна», «Для служебного пользования», «Служебная информация»).

Гриф ограничения доступа, указываемый на документе, не сокращается по написанию и под обозначением грифа указывается номер экземпляра документа, срок действия грифа и иные условия его снятия. Гриф располагается на первом и титульном листах документа, а также на обложке дела (тома), в правом верхнем углу. На электронных документах и документах, записанных на любых машинных носителях, гриф обозначается на всех листах. Ниже грифа или ниже адресата могут обозначаться ограничительные пометы типа: «Лично», «Только в руки», «Только адресату», «Лично в руки» и др. При регистрации конфиденциальных документов к его номеру добавляется сокращенное обозначение грифа конфиденциальности, например: № 37к, 89ск, 97дсп.

Наиболее существенная особенность документирования конфиденциальной информации, касающаяся уже непосредственно технологических процедур изготовления самого документа, состоит в централизованном учете - присвоении единого учетного номера черновику и проекту будущего документа. Одновременно на еще не изготовленный документ в службе документационного обеспечения управления заполняется комплект учетных карточек. Полученный черновиком документа учетный номер будет сопровождать проект документа, а затем и сам документ в течение его последующего «жизненного цикла». Учету подлежат черновики всех конфиденциальных документов, независимо от места их составления и последующего изготовления проекта документа.

Изменение или снятие грифа конфиденциальности документа производится при изменении степени конфиденциальности и ценности содержащихся в нем сведений. Руководители всех рангов и исполнители несут персональную ответственность за своевременное и правильное установление, изменение и снятие грифа конфиденциальности. Фактическое изменение или снятие грифа осуществляет должностное лицо, подписавшее (утвердившее) документ, а также руководитель предприятия.

Процедуры изменения и снятия грифа конфиденциальности с документов предприятия должны быть четко регламентированы.

При изменении или снятии грифа должностное лицо делает отметку на самом документе и в сопроводительном письме: зачеркивает гриф или проставляет новый, указав основания для выполнения этого действия, ставит подпись и дату. В соответствии с этой отметкой делаются необходимые записи в учетной форме документа. При необходимости об изменении или снятии грифа конфиденциальности с документа сообщается заинтересованным организациям и предприятиям.

Технология обработки и хранения конфиденциальных и открытых документов базируется на единой научной и методической основе, призванной решать задачи обеспечения документированной информацией управленческие и производственные процессы.

К обработке конфиденциальных документов предъявляются следующие серьезные требования, которые в определенной степени гарантируют решение указанных задач: