По уровню доступности документы подразделяются на две категории:
– общедоступные;
– с ограниченным доступом.
Общедоступными являются открытые документы. К документам с ограниченным доступом относятся документы, работа с которыми может производиться по специальному разрешению уполномоченных на то лиц. Документирование открытой информации и организация работы с открытыми документами входят в сферу действия открытого делопроизводства. Документы с ограниченным доступом относятся к сфере деятельности не одного, а нескольких типов делопроизводства, в зависимости от того, к какому виду тайны относится содержащаяся в документах информация. Нормативными документами установлено шесть видов тайны:
– государственная;
– коммерческая;
– служебная;
– личная;
– семейная;
– профессиональная.
Документы, содержащие государственную тайну, относятся к сфере секретного делопроизводства. Документы, содержащие личную и различные подвиды профессиональной тайны, являются предметом соответствующих типов специального делопроизводства.
Конфиденциальное делопроизводство, как уже было отмечено, распространяется на документы, содержащие коммерческую и служебную тайну. При этом к документам, составляющим служебную тайну, отнесены только документы с грифом «Для служебного пользования», т. к. документы, содержащие коммерческую тайну других субъектов, должны обрабатываться и защищаться в режиме коммерческой тайны. Объединение конфиденциальных документов, содержащих коммерческую и служебную тайну, одним делопроизводством обусловлено тем, что эти документы почти полностью идентичны по технологическим процедурам составления, обработки, обращения, хранения и защиты.
Доступ к коммерческой тайне имеют работники, круг которых определен субъектом предпринимательства. Государственные контролирующие и правоохранительные органы в соответствии с полномочиями, предоставленными им законодательством по контролю и надзору, имеют право, в пределах своей компетенции, на основании письменного заявления знакомиться со сведениями, являющимися коммерческой тайной и составлять соответствующие акты изъятия документов, свидетельствующих о нарушении законодательства. При этом должностные лица этих органов несут предусмотренную законодательством ответственность за разглашение сведений, составляющих коммерческую тайну хозяйствующего субъекта.
Важным моментом является то, что иные органы и организации, в том числе средства массовой информации, правом истребования у хозяйствующего субъекта сведений, составляющих коммерческую тайну, не обладают.
Итак, какого рода сведения составляют коммерческую тайну? Вот лишь примерный список тех, которые содержат такие сведения:
– Производство;
– Управление;
– Планы;
– Финансы;
– Рынок;
– Партнеры;
– Переговоры;
– Контракты;
– Цены;
– Торги, аукционы;
– Наука и техника;
– Технология;
– Совещание;
– Безопасность.
Каждая из этих тем, в зависимости от специфики конкретного предприятия, может содержать различную информацию. В каждом случае эти сведения определяются индивидуально.
Важно, при определении объектов, которые составляют вашу коммерческую тайну, не включить в их список объектов, которые не могут составлять коммерческую тайну в соответствии с законодательством.
К объектам коммерческой тайны не могут относиться:
– учредительные документы, а также документы, дающие право на занятие предпринимательской деятельностью и отдельными видами хозяйственной деятельности, подлежащей лицензированию;
– сведения по утвержденным формам статистической отчетности, а также отчетности о финансово-экономической деятельности и иные данные, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей;
– документы об уплате налогов и других обязательных платежей;
– документы, удостоверяющие платежеспособность;
– сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
– сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении правил охраны труда, реализации продукции, причиняющей вред здоровью потребителей, а также о других нарушениях законодательства и размерах причиненного при этом ущерба.
Конфиденциальное делопроизводство следует определять как деятельность, обеспечивающую документирование конфиденциальной информации, организацию работы с конфиденциальными документами и защиту содержащейся в них информации. При этом под документированием информации понимается процесс подготовки и изготовления документов, под организацией работы с документами – их учет, размножение, прохождение, исполнение, отправление, классификация, систематизация, подготовка для архивного хранения, уничтожение, режим хранения и обращения, проверки наличия.
По сфере деятельности открытое делопроизводство распространяется на управленческие действия и включает в основном управленческие документы. Конфиденциальное делопроизводство в силу условий работы с конфиденциальными документами распространяется как на управленческую, так и на различные виды производственной деятельности, включает не только управленческие, но и научно-технические документы (научно-исследовательские, проектные, конструкторские, технологические и др.). Кроме того, конфиденциальное делопроизводство распространяется не только на официальные документы, но и на их проекты, различные рабочие записи, не имеющие всех необходимых реквизитов, но содержащие информацию, подлежащую защите.
По видам работ конфиденциальное делопроизводство отличается от открытого, с одной стороны, большим их количеством, с другой – содержанием и технологией выполнения многих видов.
Помимо этого, третья составляющая конфиденциального делопроизводства – защита содержащейся в конфиденциальных документах информации – вообще не предусмотрена в определении открытого делопроизводства, хотя определяемая собственником часть открытой информации должна защищаться от утраты. Конфиденциальная информация должна защищаться и от утраты, и от утечки.
Термин «утечка конфиденциальной информации», вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления, к тому же он давно уже закрепился в научной литературе и нормативных документах. Утечка конфиденциальной информации представляет собой неправомерный, т. е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа, независимо от того, работают или не работают такие лица на данном предприятии обусловлены уязвимостью информации.
Уязвимость информации следует понимать как ее доступность для дестабилизирующих воздействий, т. е. таких воздействий, которые нарушают установленный статус информации. Нарушение статуса любой документированной информации включается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц).
Уязвимость документированной информации – понятие собирательное. Она не существует вообще, а проявляется в различных формах. К таким формам, выражающим результаты дестабилизирующего воздействия на информацию, относятся (в скобках указаны существующие варианты названий форм):
– хищение носителя информации или отображенной в нем информации (кража);
– потеря носителя информации (утеря);
– несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение);
– искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация);
– блокирование информации;
– разглашение информации (распространение, раскрытие).
Термин «разрушение» употребляется главным образом применительно к информации на машинных носителях.
Существующие варианты названий: модификация, подделка, фальсификация – не совсем адекватны термину «искажение», они имеют нюансы, однако суть их одна и та же – несанкционированное частичное и полное изменение состава первоначальной информации.
Блокирование информации в данном контексте означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.
Разглашение информации является формой проявления уязвимости только конфиденциальной информации.
Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействий. Такими источниками могут быть люди, технические средства обработки передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию являются копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.
Реализация форм проявления уязвимости документированной информации приводит или может привести к двум видам уязвимости:
– утрате информации;
– утечке информации.
К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.
К утечке конфиденциальной документированной информации приводит ее разглашение. В литературе и даже в нормативных документах термин «утечка конфиденциальной информации» нередко заменяется или отождествляется с терминами; «разглашение конфиденциальной информации», «распространение конфиденциальной информации». Такой подход не является правомерным.
Разглашение или распространение конфиденциальной информации означают несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем-то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). «Может произойти» не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть и «прихвачен» мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит.
Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Имелось немало случаев, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью «подсидки», причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их.
Но в любом случае потеря и хищение конфиденциальной информации если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение, и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно определить, во-первых, сам факт разглашения или хищения конфиденциальности информации при сохранности носителя информации у ее собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.
Суммируя соотношение форм и видов уязвимости защищаемой информации, можно констатировать:
1. Формы проявления уязвимости информации выражают результаты дестабилизирующего, воздействия на информацию, а виды уязвимости – конечный суммарный итог реализации форм проявления уязвимости.
2. Утрата информации включает в себя, по сравнению с утечкой, большее число форм проявления уязвимости информации, но она не поглощает утечку, т. к. не все формы проявления уязвимости информации, которые приводят или могут привести к утечке, совпадают с формами, приводящими к утрате.
3. Наиболее опасными формами проявления уязвимости конфиденциальной документированной информации являются потеря, хищение и разглашение – первые две одновременно могут привести и к утрате, и к утечке информации, вторая (хищение информации при сохранности носителя) и третья могут не обнаружиться, со всеми вытекающими из этого последствиями.
4. Неправомерно отождествлять, как это нередко делается в научной литературе и нормативных документах, включая законы, виды и отдельные формы проявления уязвимости информации (утрата = потеря, утрата = хищение, утечка = разглашение (распространение)), а также формы проявления уязвимости информации и способы дестабилизирующего воздействия на нее.
5. Необходимо уделять одинаковое внимание предотвращению как утраты защищаемой документированной информации, так и ее утечки, т. к. ущерб собственнику информации наносится в любом случае.
Защита конфиденциальной документированной информации от утраты и утечки осуществляется в определенной мере в рамках и первой, второй составляющих конфиденциального делопроизводства, т. к. она взаимоувязана, «переплетена» с ними: документирование конфиденциальной информации и организация работы с конфиденциальными документами должны производиться в условиях обеспечения их защиты, и вместе с тем многие вопросы защиты решаются в ходе и путем осуществления систематических операций по учету и обработке документов. Однако защитные мероприятия охватывают не только сами документы, но и другие объекты, так или иначе связанные с защищаемыми документами (помещения, технические средства обработки и передачи информации и др.)
Поэтому в определении конфиденциального делопроизводства защита документированной информации выделена в самостоятельную составляющую.
Конфиденциальное делопроизводство шире открытого и по своим задачам. Если задачей открытого делопроизводства является документационное обеспечение управленческой деятельности, то конфиденциальное делопроизводство должно осуществлять решение двух задач:
1) документационное обеспечение всех видов конфиденциальной деятельности;
2) защита документированной информации, образующейся в процессе конфиденциальной деятельности.
Первая задача имеет своей целью организацию и бесперебойное функционирование конфиденциальной деятельности в сфере любого вида производства и управления. Это требует от делопроизводства обеспечения нужд конфиденциальной деятельности полной, своевременной и достоверной документной информацией, организации исполнения и использования документов.
Полноту документной информации характеризует ее объем, который, с одной стороны, должен быть достаточным для принятия управленческих решений и выполнения производственных заданий, с другой стороны, являться действительно необходимым, не содержащим избыточной, не нужной для деятельности предприятия информации.
Достоверность документной информации заключается, во-первых, в ее соответствии объективному состоянию того или другого вопроса и, во-вторых, в ее юридической силе, характеризующейся наличием и правильностью оформления соответствующих реквизитов.
Своевременность документной информации означает, что за время обработки и передачи информации не изменилось состояние вопроса, к которому она относится.
Организация исполнения документов включает в себя и оперативное доведение их до исполнителей, и обеспечение своевременного и качественного решения содержащихся в документах вопросов.
Организация использования документов состоит в обеспечении как текущего, оперативного, так и последующего, ретроспективного использования документной информации.
Вторая задача имеет своей целью обеспечение сохранности и конфиденциальности документированной информации, что требует создания и поддержания специальных условий хранения, обработки и обращения документов, гарантирующих надежную защиту, как самих документов, так и содержащейся в них информации. Сущность конфиденциального делопроизводства обусловливает его организационные и технологические особенности, к числу основных из которых относятся:
– письменное нормативное закрепление общей технологии документирования, организации работы с документами и их защиты;
– жесткое регламентирование состава издаваемых документов и содержащейся в них информации, в том числе на стадии подготовки черновиков и проектов документов;
– обязательный поэкземплярный и полистный учет всех, без исключения, документов, проектов и черновиков;
– максимально необходимая полнота регистрационных данных о каждом документе;
– фиксация прохождения и местонахождения каждого документа;
– проведение систематических проверок наличия документов;
– разрешительная система доступа к документам и делам, обеспечивающая правомерное и санкционированное ознакомление с ними;
– жесткие требования к условиям хранения документов и обращения с ними, которые должны обеспечивать сохранность и конфиденциальность документированной информации;
– регламентация обязанностей лиц, допущенных к работе с конфиденциальной документированной информацией, к ее защите;
– персональная и обязательная ответственность за учет, сохранность документов и порядок обращения с ними.
Особенностью конфиденциального делопроизводства является и своеобразное переплетение некоторых функций, которые на первый взгляд как бы взаимоисключают друг друга. В частности, функциями по реализации задачи документационного обеспечения конфиденциальной деятельности являются создание документов, необходимых и достаточных для такой деятельности, предоставление каждому пользователю всех документов, требующихся для выполнения должностных обязанностей, параллельными им функциями по реализации задачи защиты конфиденциальной информации – предотвращение необоснованного издания и рассылки документов, исключение необоснованного ознакомления с документами.
На самом деле применительно к документированию это означает, что конфиденциальная деятельность должна обеспечиваться минимальным количеством документов при сохранении полноты и достоверности информации, применительно к организации документооборота – предоставление пользователям всех необходимых документов, но только тех, которые действительно требуются для выполнения должностных обязанностей.
Особенности конфиденциального делопроизводства одновременно выступают и в качестве требований к нему.
О проекте
О подписке