Организация работы с документами, содержащими информацию ограниченного доступа, включая электронный документооборот



Определения


Делопроизводство, или документационное обеспечение управления - отрасль деятельности, обеспечивающая документирование и организацию работы с документами.

Документооборот – движение документов в организации с момента их создания или получения до завершения исполнения или отправки.

Общедоступная информация - общеизвестные сведения, информация, доступ к которой в соответствии с законодательством Российской Федерации не может быть ограничен.

Информация ограниченного доступа (конфиденциального характера) - сведения, для которых установлен специальный режим сбора, хранения, обработки, предоставления и использования, доступ к которым ограничен в соответствии с федеральными законами.

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Доступ к конфиденциальной информации - санкционированное полномочным должностным лицом ознакомление конкретного лица с данной информацией.

Сведения, составляющие государственную тайну – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.


Информация, к которой не может быть ограничен доступ (п. 4 ст. 8 закона № 149-ФЗ):


к нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

информации о состоянии окружающей среды;

информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

В соответствии с Указом Президента РФ от 06.03.1997 № 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера» выделяются персональные данные, тайна следствия и судопроизводства, служебная тайна (ст. 139 ГК РФ), коммерческая тайна, сведения из личных дел осужденных, сведения о сущности изобретения, врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и так далее.


Персональные данные


Персональные данные физического лица (гражданина) или личная тайна (тайна частной жизни) – это конфиденциальная документированная информация, незаконное собирание или распространение которой причиняет вред правам и законным интересам этого лица и предоставляет ему право на защиту в соответствии с законодательством Российской Федерации.

Персональные данные включают в себя:

Семейная тайна – сведения, касающиеся семьи и по моральным соображениям скрываемые от посторонних семьей;

Тайна усыновления – сведения о факте усыновления ребенка, информация об отказе от него действительных родителей, иных обстоятельствах усыновления;

Тайна голосования – зафиксированные в бюллетене для голосования и раскрывающие отношение гражданина к выбору того или иного кандидата;

Тайна исповеди. Священнослужитель не может быть привлечен к ответственности за отказ от дачи показаний по обстоятельствам, которые стали известны ему из исповеди;

Партийная тайна – это информация о членах политической партии, представляемая для сведения в уполномоченные органы, относится к информации с ограниченным доступом.


Тайна следствия и судопроизводства


Тайна следствия связана с интересами законного производства предварительного расследования по уголовным и гражданским делам. Эта информация может касаться как характера производимых следственных действий, так и доказательной базы, перспектив расследования, круга лиц, участвующих в расследовании.


Служебная тайна


К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами. «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утвержденное постановлением Правительства Российской Федерации от 03.11.1994 № 1233. Несмотря на практически полное отсутствие нормативного регулирования, данная категория присутствует в около 40 федеральных законов.

Информация может являться служебной тайной, если она:

отнесена федеральным законом к служебной информации о деятельности государственных органов, доступ к которой ограничен по закону или в силу служебной необходимости;

является конфиденциальной информацией другого лица (коммерческая тайна, банковская тайна, секрет производства (ноу-хау), служебный секрет производства, персональные данные);

не является государственной тайной и не попадает под перечень сведений, составляющих государственную тайну;

получена представителем государственного органа или органа местного самоуправления только в силу исполнения обязанностей по службе в случаях и в порядке, установленных федеральным законодательством.


Профессиональная тайна


Профессиональная тайна - информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна). Она подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации (ст. 9 закона № 149-ФЗ). Профессиональная тайна бывает следующих видов: врачебная, адвокатская, аудиторская, нотариальная, журналистская, тайна переписки, телефонных и иных переговоров, тайна страхования и ряд других.


Коммерческая тайна


Коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Информация, составляющая коммерческую тайну (секрет производства), – сведения любого характера производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны (Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ).


Особенности конфиденциального делопроизводства


жесткое регламентирование состава издаваемых документов и контроль процессов документирования;

создание разрешительной системы доступа к документам;

обязательный поэкземплярный и полистный учет всех без исключения документов, проектов и черновиков;

учет и обеспечение сохранности еще и учетных форм;

фиксация прохождения и местонахождения документа;

контроль копирования и размножения документов;

регламентация обязанностей сотрудников;

проведение систематических проверок наличия документов;

проведение постоянной информационно-аналитической работы, направленной на выявление возникающих потенциальных угроз, определение наиболее оптимальных мер защиты документированной информации.


Стадии оборота документа


1. Получение (отправка) документа. Документ, содержащий конфиденциальную информацию, должен быть передан только ответственному за конфиденциальное делопроизводство и зарегистрирован. Далее, он передается руководителю, а последний определяет непосредственного исполнителя по данному документу, имеющему допуск к этой категории документов, и адресует документ ему. Аналогичный порядок при отправлении документа – подготовка документа, подпись руководителя, регистрация в специальном журнале и отправка.

2. Хранение документа. Все документы, содержащие конфиденциальную информацию, должны храниться в специально отведенных, закрывающихся помещениях, в запертых шкафах, столах или ящиках. в металлических сейфах, оборудованных сигнализацией. Все помещения должны опечатываться. По истечении срока возможны различные действия:

1) гриф может быть продлен;

2) гриф может быть снят и документ становится открытым;

3) документ уничтожается.

3. Использование документа. Система доступа сотрудников, не имеющих соответствующих прав по должности, к конфиденциальным документам должна иметь разрешительный характер. Каждая выдача таких документов регистрируется (расписываются оба сотрудника – и тот, кто берет документ и тот кто его выдает) и проверяется порядок работы с ними.

4. Уничтожение документа. Конфиденциальные документы, утратившие практическое значение, срок хранения которых истек, подлежат уничтожению. Для этого создается комиссия (не менее 3 человек) в присутствии которой производится уничтожение. Члены комиссии подписывают акт об уничтожении. Бумажные документы уничтожаются путем сожжения, дробления, превращения в бесформенную массу, а магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и др.

5. Контроль за соблюдением правил хранения и использования документов, содержащих конфиденциальную информацию, осуществляется с помощью проверок. Они могут быть как регулярными (еженедельными, ежемесячными, ежегодными), так нерегулярными (выборочными, случайными). В случае обнаружения нарушений составляется акт и принимаются меры, позволяющие в будущем предотвратить нарушения такого рода.


Документирование конфиденциальной информации предполагает



определение и использование реквизита конфиденциального документа – отметки о конфиденциальности документа или степени ограничения доступа и распространения;

определение состава конфиденциальных документов – разработку Перечня конфиденциальной документированной информации, необходимого для определения степени ограничения доступа к документам;

учет бумажных носителей, включая бланки документов;

учет проектов конфиденциальных документов и черновиков документов;

учет носителей создаваемых электронных документов (сообщений).

Степень конфиденциальности может быть присвоена документу:

исполнителем на стадии подготовки документа;

руководителем структурного подразделения или руководителем организации на стадии согласования или подписания документа;

адресатом (получателем) документа на стадии его первичной обработки в Службе делопроизводства.

Согласно Постановлению Правительства Российской Федерации от 03.11.94 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии» (ред. от 20.07.2012) необходимость проставления пометки "Для служебного пользования" определяется исполнителем и должностным лицом, подписывающим или утверждающим документ.

Пометка ДСП и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на первой странице сопроводительного письма к таким документам.


Перечень конфиденциальной документированной информации организации


Целями разработки Перечня должны являться:

- определение состава конфиденциальной документированной информации, необходимой и достаточной для деятельности организации;

- установление конкретных лиц, имеющих право создавать, составлять, визировать и подписывать (утверждать) документы, а также предотвращение необоснованной рассылки этих документов.

При составлении Перечня необходимо исходить из трех основных принципов:

- законности,

- обоснованности,

- своевременности придания документированной информации конфиденциальности.


Основные этапы разработки Перечня конфиденциальной документированной информации


1. Установить весь состав циркулирующей в организации информации, отображенной на любом носителе, любым способом, в любом виде и в любой автоматизированной ИС.

2. Определить, какая из установленной информации должна быть ограниченного доступа и относиться к какому-либо виду тайн.

3. Определить степень конфиденциальности информации.

4. Определить конкретные сроки конфиденциальности информации либо обстоятельств и событий, при наступлении которых она снимается.

Согласно Постановлению Правительства Российской Федерации от 03.11.94 № 1233 руководители федеральных органов исполнительной власти в пределах своей компетенции определяют:

категории должностных лиц, уполномоченных относить служебную информацию к разряду ограниченного распространения;

порядок передачи служебной информации ограниченного распространения другим органам и организациям;

порядок снятия пометки: «для служебного пользования» с носителей информации ограниченного распространения;

организацию защиты служебной информации ограниченного распространения.

Учет бумажных носителей конфиденциальной информации ведется по форме 3:


Об уничтожении бумажных носителей по решению руководителя составляется акт по форме 6.


Размножение и тиражирование конфиденциальных документов:


Организация конфиденциального документооборота


Документы ДСП


1. Печатаются в машинописном бюро.

2. На обороте последнего листа каждого экземпляра документа машинистка должна указать количество отпечатанных экземпляров, фамилию исполнителя, свою фамилию и дату печатания документа.

3. Отпечатанные и подписанные документы вместе с черновиками и вариантами передаются для регистрации работнику, осуществляющему их учет.

4. Черновики и варианты уничтожаются этим работником с отражением факта уничтожения в учетных формах.

5. Учитываются отдельно от несекретной документации. При незначительном объеме разрешается вести их учет совместно с другими несекретными документами, к регистрационному индексу документа добавляется пометка "ДСП".

6. Передаются работникам подразделений под расписку.

7. Пересылаются сторонним организациям фельдъегерской связью, заказными или ценными почтовыми отправлениями.

8. Размножаются (тиражируются) только с письменного разрешения соответствующего руководителя. Учет размноженных документов осуществляется поэкземплярно.

9. Хранятся в надежно запираемых и опечатываемых шкафах (ящиках, хранилищах).

За разглашение служебной информации ограниченного распространения, а также нарушение порядка обращения с документами, содержащими такую информацию, государственный служащий (работник организации) может быть привлечен к дисциплинарной или иной предусмотренной законодательством ответственности.


Небумажные носители информации «Для служебного пользования»


Небумажными носителями информации «Для служебного пользования» являются: флэш-карта, кассета, дискета, CD-диск, DVD-диск, USB-диск и др. Для регистрации, хранения документов "Для служебного пользования" используются автономные средства вычислительной техники (не имеющие физических каналов связи с другими СВТ), удовлетворяющие Специальным требованиям и рекомендациям по технической защите конфиденциальной информации, утвержденными Приказом Государственной технической комиссии Российской Федерации от 30 августа 2002 г. N 282 (СТР-К).

Учет и выдачу небумажных носителей документов "Для служебного пользования" осуществляют должностные лица подразделений, в должностной регламент которых входят данные функции.

Небумажные носители учитываются до первой записи на них документа "Для служебного пользования".


Учет небумажных документов «Для служебного пользования»


На носителях проставляются учетные реквизиты:

- наименование организации;

- пометка «ДСП»;

- дата учета и учетный номер (состоит из порядкового номера записи в Журнале учета и выдачи небумажных носителей);

- подпись должностного лица, ответственного за их учет.

Носители учитываются в Журнале учета и выдачи небумажных носителей документов "Для служебного пользования":


Номер небумажного носителя информации (маркировка небумажных носителей, не обязательна, идентификация данных носителей обеспечивается проверкой заводского серийного номера).


Работа с документами «Для служебного пользования»


Необходимым условием сохранности документа "Для служебного пользования" является его принадлежность конкретному должностному лицу, подтвержденная личной подписью.

Учет документов "Для служебного пользования" ведется в журнале учета и выдачи небумажных носителей документов:


В случае утраты документов, носителей информации с пометкой "ДСП", либо разглашения содержащихся в них сведений, а также при обнаружении признаков, указывающих на несанкционированное ознакомление (попытку ознакомления) с информацией ограниченного распространения, должностное лицо, обнаружившее данные факты, немедленно докладывает руководителю, по указанию которого проводится служебное расследование.

Служебное расследование проводит должностное лицо, в функции которого входит организация и обеспечение мероприятий по защите информации в организации. Результаты служебного расследования докладываются в служебной записке руководителю организации и в вышестоящую организацию (при наличии) в установленном порядке.

На утраченные документы, дела, издания, носители информации с пометкой "Для служебного пользования" составляется акт, на основании которого в учетные формы вносятся соответствующие отметки.

Хранение документов «Для служебного пользования» возможно на автономных СВТ (не имеющие физических каналов связи с другими СВТ), удовлетворяющих требованиям СТР-К и на небумажные носители информации.


Запрещается:


1. Использование не зарегистрированных небумажных носителей, способных к электромагнитному излучению.

2. Хранить документы "Для служебного пользования" на неучтенных носителях.

3. Передача в устной форме сведений, содержащихся в документах «Для служебного пользования».

4. Вынос небумажного носителя информации за пределы контролируемой зоны.

5. Выносить носители, содержащие информацию ограниченного распространения за пределы контролируемой зоны без разрешения руководителя (заместителя руководителя) организации.

6. Ознакомление с документом «Для служебного пользования» лицом, не имеющим соответствующих полномочий.

7. Доступ к внешним сетям с АРМ без криптографической защиты

8. Удаленное управление АРМ.

Передача, учет и хранение документов


1. Учет и выдачу небумажных носителей документов ДСП осуществляют должностные лица подразделений, в должностной регламент которых входят данные функции.

2. Документы ДСП выдаются по реестру, по окончанию работы с ними возвращаются ответственному лицу.

3. Документы в пределах здания передаются в закрытых папках.

4. Хранятся документы в запираемых металлических хранилищах в помещениях, недоступных для посетителей.

5. Необходимым условием сохранности документа ДСП является его принадлежность конкретному должностному лицу, подтвержденная личной подписью.


Требования к АРМ


1. Наличие СЗИ от НСД.

2. Контроль внешних носителей информации.

3. Отсутствие доступа к внешним сетям Интернет.

4. Отсутствие удаленного управления АРМ.

5. Экранный хранитель.

6. Опломбирование корпусов АРМ.


Требования к помещениям


1. Прочные входные двери с замками.

2. Окна помещений, расположенных на первых этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, должны оборудоваться металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в помещения.

3. Двери должны быть постоянно закрыты.

4. Наличие на окнах жалюзи или штор.

Доступ пользователя к работе с информационным ресурсом, содержащим конфиденциальные сведения, организует администратор безопасности информации организации. Пользователь знакомится с полномочиями по доступу под расписку в Журнале.


Парольная защита


Срок действия пароля пользователя не превышает 30 суток. По истечении указанного срока пользователь самостоятельно изменяет пароль.

Пользователь обязан хранить пароль в тайне. Регистрация паролей доступа пользователей к конфиденциальным информационным ресурсам допускается только в случае, предусмотренном технологией использования СВТ и АС.

Доступ к конфиденциальному информационному ресурсу организации для пользователя незамедлительно прекращается при установлении факта несанкционированного доступа с использованием его пароля и возобновляется с новым паролем с разрешения руководителя организации после проведения служебного расследования данного факта.


Обмен документами ДСП


Прием и передача конфиденциальной информации должна осуществляться через туннель с шифрованием трафика с использованием межсетевых экранов. Подписание документов осуществляется усиленной квалифицированной электронной подписью.

Для формирования и проверки электронной подписи используется специальное программное обеспечение: Крипто Про или eToken КриптоАРМ.

Возможные причины, по которым электронная подпись не прошла проверку:

Подпись не соответствует документу. Был выбран неправильный документ либо файл подписи был создан для другого документа. Необходимо проверить соответствие файлов, которые вы выбираете с диска. При необходимости запросите у автора правильные документы.

Документ был модифицирован. После создания проверяемой подписи в документ были внесены изменения. Для устранения данной причины необходимо исключить возможность модификации исходного документа после создания подписи для него.


Компрометация ключа электронной подписи


Компрометация ключа — утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.

К событиям, связанным с компрометацией ключей относятся, включая, но не ограничиваясь, следующие:

1. Потеря ключевых носителей.

2. Потеря ключевых носителей с их последующим обнаружением.

3. Увольнение сотрудников, имевших доступ к ключевой информации.

4. Нарушение правил хранения и уничтожения (после окончания срока действия) секретного ключа.

Компрометация ключа электронной подписи – это возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи; нарушение печати на сейфе с ключевыми носителями; случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).