Организация конфиденциального документооборота

Псе необходимые отметки делаются на одном светонепроницаемом пакете, который опечатывается. Передача документов курьером фиксируется в разносной книге или Реестре. Фиксация может производиться в электронном виде в автоматизированной информационной системе экспедиционной обработки.

Доставка документов через представителей других организаций производится на основании доверенности. Если организация передает пакеты через почтовые отправления, то перевозка и доставка могут выполняться силами и средствами специальной связи федерального органа исполнительной власти - фельдъегерской связью [42, ст. 22]. Пересылка пакетов фельдъегерской и специальной связью осуществляется на договорной основе.

При пересылке корреспонденции фельдъегерской или специальной связью составляется и распечатывается некоторое количество экземпляров реестра. Возможно составление его в электронном виде в автоматизированной информационной системе экспедиционной обработки. Последний экземпляр реестра остается в организации. Передача пакетов осуществляется в соответствии с Правилами служб фельдъегерской и специальной связи.

Если в конфиденциальной документированной информации имеются сведения, относящиеся к компетенции других организаций, передача их возможна только с согласия этих организаций.

Доставка конфиденциальных пакетов в другие организации, минуя органы связи, может осуществляться с разрешения руководителя организации-отправителя курьером экспедиционного подразделения Службы делопроизводства либо другим работником организации. допущенным к конфиденциальной информации, на служебном транспорте. Пакеты передаются по реестру или взамен разовой расписки. в которых, кроме подписи о получении пакетов, проставлена печать организации-получателя. Реестры и полученные расписки не должны иметь отметку конфиденциальности.

Пересылка конфиденциальной документированной информации по каналам сетей электросвязи и электронной почты в виде электронных сообщений в сети Интернет во многих случаях допускается. например для обеспечения информационного взаимодействия государственных структур, а также при оказании государственных услуг гражданам и организациям, связанных с обменом сведениями. содержащимися в базах данных информационных систем государственных структур, с использованием ирофаммно-аппаратных средств и телекоммуникационной инфраструктуры общероссийского государственного информационного центра. Использование ресурсов центра при информационном взаимодействии осуществляется в соответствии с требованиями к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам и их применению, утверждаемыми Министерством информационных технологий и связи Российской Федерации [77; 89].

Под взаимодействием федеральных информационных систем электронного документооборота понимается обмен электронными сообщениями (ведение служебной переписки в электронной форме) между участниками межведомственного ( межсетевого) электронного документооборота.

Одним из основных принципов межведомственного(межсетевого) электронного документооборота является обеспечение конфиденциальности передачи и получения информации. При осуществлении межведомственного (межсетевого) электронного документооборота допускается обмен электронными сообщениями, содержащими общедоступную информацию и информацию, отнесенную к сведениям. составляющим служебную тайну [74].

Аналогичные меры могут приниматься и в негосударственных организациях.

Более подробно система защищенного электронного документооборота и электронное взаимодействие системы ВЭД и МЭД рассмотрены в гл. 8.

Пересылка конфиденциальной информации по каналам сетей электросвязи и электронной почты в виде электронных сообщений п сети Интернет в сфере международного информационного обмена во многих случаях не допускается. Например, в соответствии с Указом Президента Российской Федерации «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети Интернет (далее - информационно- телекоммуникационные сети международного информационного обмена), не допускается.

'Зто положение должно быть оговорено в Инструкции по конфиденциальному делопроизводству и документообороту организации. В исключительных случаях разрешается внутри страны пересылать конфиденциальную информацию по указанным каналам связи при условии шифровки текста.

При использовании электрических (факсимильной или иной оперативной связи - телеграммы, телетайпные сообщения) и электронных каналов связи (электронная почта, сеть Ин тернет) организация должна руководствоваться законодательством в области связи и нормативными документами ФСБ России, ФСКОК России, ФСО России, ряда других министерств и ведомств, а также действующими стандартами в области защиты информации (см. Список источников и литературы).

Федеральным законом «Об информации...» определено: «В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями. каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон. рассматривается как обмен документами» [23, ст. 11, п. 4].

Не следует забывать, что согласно указанному закону (ст. 10. и. 3) при использовании для распространения информации средств, позволяющих определять получателей этой информации, в том числе почтовых отправлений и электронных сообщений, лицо, распространяющее информацию, обязано обеспечить ее получателю возможность отказа от нее.

6. Учет конфиденциальной документированной информации инвентарного (выделенного) хранения

На инвентарный (выделенный или списочный) учет берутся следующие конфиденциальные документы:

не подлежащие подшивке в дела, например: сброшюрованные, документы большого формата, чертежно-графические. научно- технические, в юм числе являющиеся приложениями к основным, фотографии, рисунки, электронные документы на соответствующих носителях (дискеты, флэш-памяти):

изъятые по какой-либо причине из дела и переведенные на выделенное хранение (образовавшие самостоятельное дело), например документы, доступ к которым имеет более узкий круг лиц:

технические носители информации (чистые или с записанной информацией), например дискеты, видео- и аудиокассеты, кассеты с фотопленкой и др.;

бумажные носители информации для составления черновиков, оригиналов и подлинников документов, например рабочие тетради, отдельные листы бумаги, тетради с отрывными листами и др.:

журналы (картотеки) учета документов, картотеки учета выдачи дел и документов, законченные дела [209].

Инвентарный учет осуществляется в журнале или карточках, в том числе в электронных автоматизированной информационной системы (если такая система функционирует в организации).

Журнал (картотека) инвентарного учета ведется непрерывно по форме 10, номера каждого года продолжают номера предыдущих лет. Вызвано это тем. что выделенному хранению подлежат, как правило, документы постоянного и долговременного хранения, и их ежегодная перерегистрация привела бы к увеличению трудоемкости обработки конфиденциальной документированной информации и созданию сложностей для пользователей.

На инвентарный учет может браться вся конфиденциальная документированная информация, если ее объем невелик. Инвентарный номер указывается на документе в верхнем левом углу первого листа, например: «Инв. № и лата». Одновременно может формироваться электронный справочный массив по документам.

Поставленные на инвентарный учет технические носители информации маркируются. Маркировка предусматривает нанесение на них следующих данных: инвентарного номера, индекса или названия структурного подразделения, фамилии исполнителя. Надписи делаются красящим веществом, имеющим хорошую механическую стойкость. Этим же веществом окрашиваются винты или иные детали, скрепляющие корпус кассеты, дискеты или футляр с целью сигнализации об их несанкционированном вскрытии.

Если в организации производится копирование (тиражирование) конфиденциальных документов инвентарного учета, то между графами 7 и 8 помещаются графы о номере и дате разрешения па размножение, количестве и номерах размноженных экземпляров.

При значительном объеме конфиденциальных документов инвентарного хранения чсртсжно-графическис и текстовые документы могут учитываться раздельно, но по однотипной форме. В этом случае вместо добавляемого к номеру документа индекса И (инвентарный учет) или В (выделенный учет) на чертежно- графических документах проставляется индекс Ч, на текстовых - Т. В момент регистрации заполняются графы 1-7.

При поступлении конфиденциальной документированной информации, созданной другой организацией и подлежащей инвентарному учету'. ей сразу (без оформления в журнале учета и регистрации поступивших конфиденциальных документов) присваивается очередной порядковый номер по журналу (карточке) инвентарного учета. Этот номер проставляется на документе, в графе 8 журнала учета поступивших пакетов и в графе 1 журнала (карточки) инвентарного учета с одновременным заполнением 1раф 2-7 этого журнала. При этом в графе 5 указывается: «п/ж №__за__» (где «п/ж» - журнал учета пакетов), с проставлением номера и даты поступления пакета, в котором находился конфиденциальный документ.

При учете чертежно-графических документов в графе 3 проставляется вид носителя (калька, ватман), а для текстовых также вил носителя (электронный, бумажный) и индекс (обозначение) документа.

При взятии на учет конфиденциальной документированной информации, переводимой с регистрации поступивших конфиденциальных документов, в графе 4 указывается, откуда поступил документ, в графе 5 - его номер но журналу учета и регистрации поступивших документов, в графе 13 проставляются номер, присвоенный конфиденциальной документированной информации по журналу инвентарного учета. и количество листов.

При взятии на учет конфиденциальных документов, переводимых с учета внутренних (созданных/изданных) документов, в графе 4 указывается подразделение организации, разработавшее конфиденциальный документ, в графе 5 - номер по журналу учета внутренних (созданных/изданных) конфиденциальных документов, в графе 17 проставляются номер, присвоенный документу по журналу учета инвентарного хранения, и количество переведенных на инвентарное хранение экземпляров (см. разд. 3).

При взятии на учет носителя, переводимого с учета бумажных носителей (см. разд. 2.1). в графе 4 указывается подразделение организации. в графе 5 - номер носителя по журналу учета носителей, в графе 9 - проставляется номер, присвоенный носителю по журналу учета инвентарного хранения.

При взятии па учет инвентарного хранения носителя без регистрации его в журнале учета бумажных носителей (рабочая тетрадь, калька и др.) в графе 5 делается прочерк.

Взятая на инвентарный учет текстовая документированная информация брошюруется (прошивается) и помещается в обложку (если ее не было). При этом после последнего листа документа помещается лист с заверитсльной надписью, в которой прописью указывается количество листов в документе. Надпись заверяется подписью (с расшифровкой) составившего ее лица и проставлением даты. Если в документе имеются вклеенные на листы фотоотпечатки, то они оговариваются в за верительной надписи.

Индексы и номера, присвоенные по журналу (карточке) инвентарного учета, проставляются на текстовых документах в верхнем левом углу обложки и титульного листа (при его наличии). В правом верхнем углу проставляется гриф конфиденциальности и под ним номер экземпляра. На чертежно-графических документах индекс и номер проставляются на каждом листе в местах, отведенных соответствующими стандартами. На присланных документах имеющиеся там номера зачеркиваются тушью тонкими линиями [209].

На каждый конфиденциальный документ заводится карточка учета выдачи по форме 11.

Форма 11

КАРТОЧКА

выдачи конфиденциального документа инвентарного учета

_______________________________________________________

(учетный номер и наименование документа)

Количество листов	Кому выдан	Подпись за получение и дата	Подпись за возврат и дата
1	2	3	4

7. Учет конфиденциальной информации при ее автоматизированной обработке

7.1 Особенности автоматизированною учета и регистрации конфиденциальной информации

Реестр конфиденциальной информации автомата знрованной информационной системы

Учет конфиденциальной информации при ее автоматизированной обработке производится с помощью Реестра конфиденциальной информации автоматизированной информационной системы (далее - Реестр).

Реестр разрабатывается в целях обеспечения учета конфиденциальной информации при сс автоматизированной обработке в АИС организации. Как документ он предназначен дчя использования организацией, выполняющей функции оператора эксплуатации, технической поддержки и защиты конфиденциальной информации, циркулирующей в АИС.

Положение о Реестре разрабатывается в соответствии с нормативно-правовыми документами. нормативно-технической документацией в области информационной безопасности и защиты информации в целях обеспечения учета не только конфидеициапьной информации. но и всех информационных ресурсов АИС организации для решения следующих задач:

организации контроля за выполнением требований по защите информации от утечки, уничтожения, блокирования или модификации;

обеспечения анализа защищенного информационною обмена в единой информационной среде организации.

Реестр должен содержать: учетные записи, соответствующие объектам учета, и дела объектов учета.

Конфиденциальная информация, циркулирующая в АИС, в целях ее защиты подлежтгт обязательному учету на всех этапах ее жизненного цикла: предпроекгной стадии, стадии проектирования и создания. ввода в действие и стадии эксплуатации.

Сбор, хранение и обработка информации Реестра осуществляются оператором с использованием разрабатываемой или разработанной АИС «Реестр информационных ресурсов» [326].

7.2 Объекты учета Реестра

Учет данных конфиденциального характера, содержащихся в АИС и информационных ресурсах, организуется и ведется на уровне:

организации, имеющей доступ к информации объекта защиты, - подразделением информационной безопасности (если оно существует), обеспечивающей защиту информации;

единой информационной среды организации - оператором Реестр;», который входит в состав Службы информационных технологий организации, при непосредственном участии Службы безопасности (информационной безопасности) и Службы делопроизводства организации.

Учету подлежат машинные носители информации, средства вычислительной техники, средства защиты информации, средства передачи данных и каналы связи (объекты учета), в которых хранится, обрабатывается и циркулирует конфиденциальная информация. Данные организации учитываются по каждому структурному подразделению.

Машинные носители с конфиденциальной информацией учитываются в соответствии с целевым назначением, мобильностью и типом носителя: хранения, записи и считывания данных (жесткий магнитный диск. оптический диск, карта флэш-памяти и др.).

Должны учитываться как машинные носители, съемные и несъемные, гак и отчуждаемые машинные носители, используемые для записи, считывания данных конфиденциального характера на средствах АИС

Локальная вычислительная сеть (ЛВС) - эго вычислительная сеть, поддерживающая в пределах ограниченной территории один или несколько высокоскоростных каналов передачи цифровой информации. предоставляемых подкиочасмым устройствам для кратковременного монопольного использования [191].

Каналы связи (передачи данных) являются также носителями информации конфиденциального характера и учитываются на уровне ЛВС и магистралей (трактов) сетей передачи данных, обеспечивающих связь как между внутренними (между зданиями, уровнями межсетевой иерархии АИС и др.). так и с внешними относительно организации обладателя АИС и конфиденциальной информации JIBC.

Обособленные устройства, обеспечивающие обмен конфиденциальной информацией по магистральным каналам передачи данных. рассматриваются как частный случай ЛВС при оценке объекта учета.

Все виды объектов учета идентифицируются по наименованию АИС и информационных ресурсов в соответствии с проектной и эксплуатационной документацией. До принятия АИС п эксплуатацию конфиденциальные данные технического характера типа паролей, применяемых для идентификации и аутентификации пользователей в АИС, в отчетных формах по объектам учета организации в отчетных формах нс фиксируются.

Учет машинных носителей, содержащих конфиденциальную информацию, а также документов (на бумажном носителе) конфиденциального характера, исполняемых с помощью средств вычислительной техники, производится в установленном в организации порядке, определенном для обращения документов ограниченного доступа и распространения, за исключением документированной информации, составляющей государственную тайну.

Наличие в АИС конфиденциальной информации определяется ответственным исполнителем организации - Службой безопасности при участии Службы делопроизводства на основании Перечня конфиденциальной документированной информации организации (см. разд. 2. а также приложение 2).

В организации выделяются следующие потоки конфиденциальной информации, циркулирующие в АИС:

потоки, циркулирующие внутри организации:

поступающие (входящие) потоки, собственником которых организация не является, - они получены ею от внешних источников - сторонних организаций и предприятий;

отправляемые (исходящие) потоки, переданные в установленном порядке иным (сторонним) организациям.

На основании информации по объектам учета структурных подразделений организации и потоков конфиденциальной информации формируются данные обобщенного объекта учета организации.

Дополнительные формы объектов учета систем связи и магистральных каналов связи, используемых для доставки входящих и исходящих потоков информации АИС, содержащих сведения конфиденциального характера. - определяются оператором Реестра в порядке, установленном организацией но взаимодействию с операторами связи, оказывающими телекоммуникационные услуги организации - владельцу АИС и конфиденциальной информации.

7.3 Технологии ведения Реестра

Как говорилось ранее, ведение Реестра направлено на обеспечение защиты конфиденциальной информации организации с помощью технологий учета и контроля обращения данных конфиденциального характера, содержащихся в АИС и ее информационных ресурсах.

Все структурные подразделения организации - пользователи .ЛИС и ее информационных ресурсов обязаны учесть и обеспечить предоставление данных объекта учета структурного подразделения оператору Реестра, ведущему обобщенный обьскт учета организации.

Актуальной информационной базой является база, которая существует в указанный момент или период времени, квалифицируемый как «сейчас», и отражает дополнительные высказывания, «яличные от необходимых [167].

Технологии ведения Реестра в части учета и сопровождения объектов учета включают в себя следующие этапы:

первичный учет:

внесение изменений в учетные данные при внедрении проектируемой ЛИС в промышленную эксплуатацию, а также изменение прав собственности на АИС и информационные ресурсы:

внесение изменений в учетные данные в процессе опытной или промышленной эксплуатации АИС:

аннулирование объекта учета в связи с прекращением эксплуатации. а также последующей ликвидацией АИС и информационных массивов и др.

Структурные подразделения организации, имеющие только открытую информацию, должны предоставлять информацию в части средств зашиты информации.

Внесение первичных данных об объектах учета в Реестр, изменений этих данных или аннулирование осуществляются оператором Реестра на основе заявления структурного подразделения по приведенной ниже форме.

Заявление

о внесении в Реестр конфиденциальной информации

1. _____________________________________________________

(полное наименование стpyктypнoro подразделения opганизации-заявителя)

в лице_________________________________________________

(должность, Ф. И.О. руководителя структурного подразделения)

просит (нужное подчеркнуть):

1) внести в Реестр новый объект учета;

2) внести изменения в Реестр в святи с перерегистрацией объекта учета;

3) исключить объект учета из Реестра

в соответствии с прилагаемыми данными.

2. С порядком регистрации АИС и информационных массивов

______________________________________)_________

(наименование организации)

содержащих данные конфиденциального характера, ознакомлены.

Для обеспечения взаимодействия в процессе рассмотрения документов и внесения в Реестр нами уполномочен

______________________________________________________

(Ф. И. О., должность уполномоченного лица, тел., факс. E-mail)

4. Наши реквизиты:

Почтовый адрес: _______________________________________

Телефон ____________________факс _______________________

Адрес Интернет-сайта __________Адрес ЭП ________________

5. Перечень прилагаемых документов: _____________________

6. Достоверность сведений, содержащихся в прилагаемых документах, подтверждаю:

(подпись руководителя структурного подразделения, дата) (Ф.И.О. руководителя)

К заявлению прилагаются следующие документы:

данные об объекте учета по утвержденной форме;

копия акта работ или иного документа, определяющего факт регистрации, перерегистрации или аннулирования объекта учета;

копия аттестата соответствия по результатам аттестационног контроля АИС и информационного массива.

Аттестацией соответствия является подтверждение экспертизой и предоставлением объективных доказательств того, что конкретные требования к определенным объектам полностью реализованы. Термин «аттестован» используется для обозначения соответствующих состояний объекта. Возможно проведение ряда аттестаций, если они преследуют различные цели. Более подробно об организации проведения аттестации АИС ио требованиям безопасности информации говорится в разд. 8.7.

При представлении заявления об аннулировании учета к заявлению прилагается копня распорядительного доку мента о прекращении разработки (эксплуатации) системы. Заявитель (структурное подразделение организации) обязан представить документы по процедуре учета объекта не позднее 30 дней после наступления одного из следующих событий:

подписания договора на проектирование (создание) АИС;

утверждения акта приемки АИС в промышленную эксплуатацию;

принятия решения о прекращении создания или эксплуатации, утверждения иных распорядительных документов организации, изданных по фактам наступления событий по учету объекта.

При изменениях в объекте учета в ходе эксплуатации АИС структурное подразделение в течение 3 рабочих дней после наступления событий, обусловленных качественными изменениями видов и потоков конфиденциальной информации, качественным и количественным изменениям состояния АИС и информационных ресурсов (например. окончания работ по модернизации системы, завершения изменений состава рабочих мест подразделения, начала владения конфиденциальной информацией сторонней организации и др.), представляет в Службу безопасности (информационной безопасности) обновленные данные по утвержденной организацией форме структурного подразделения с указанием причин внесения изменений.

На основании обновленных данных ио объектам учета, обобщенных Службой безопасности, оператору Реестра представляется заявка на внесение изменений по приведенной ниже форме.

Заявка на внесение изменений в Реестр представляется заявителем в течение 10 рабочих дней после регистрации подразделением Службы безопасности (информационной безопасности) изменений по объектам учета структурных подразделений. К заявке прилагаются:

объекта учета: копия распорядительного документа, определяющего факт изменения

копии измененных документов.

Заявка

ни внесение изменений к Реестр

1. _______________________________________________________

(полное наименование структурного псараэлеяення - заявителя)

в лице____________________________________________________

(должность, Ф.И.О. руководителя)

просит внести изменения в Реестр в соответствии с прилагаемыми документами.

2. Перечень прилагаемых документов:__________________________

Достоверность сведений, содержащихся в прилагаемых документах, подтверждаю: ___________________________________

__________________________________________________________

(подпись руководителя, дата) Ф.И.О. руководителя

При отсутствии в течение календарного года изменений в обобщенном объекте учета заявитель направляет оператору Реестра, следующего за отчетным, информационное сообщение, в котором говорится о том, что в обобщенный объект учета изменения нс вносились.

В процессе регистрации он проверяет правильность оформления и достоверность поданных документов и имеет право потребовать дополнительные материалы, подтверждающие достоверность представленных документов, а заявитель обязан предоставить указанные доку менты. По истечении установленного срока рассмотрения заявитель уведомляется о включении или невозможности включения объектов учета в Реестр. В случае отказа о включении объекта в Реестр заявителю направляется соответствующее уведомление с указанием основания для отказа. Отказ допускается в случаях:

несоответствия представленных документов требованиям, установленным Положением о ведении Реестра, разрабатываемым организацией:

недостоверности предоставляемой информации.

Оператор Реестра выполняет процедуры исключения объекта учета из Реестра путем аннулирования соответствующей учетной записи и организации архивного хранения реестрового дела по инициативе либо заявителя, либо руководства организации в случае прекращения разработки или эксплуатации АИС и информационных массивов.

Реестровое дело исключенного объекта учета находится на оперативном хранении у оператора Реестра в течение 5 лет.

Размещено на Allbest.ru

...