Основные этапы разработки. Перечня конфиденциальной документированной информации - Документирование конфиденциальной информации

Первый эman. На основе анализа задач, функций, компетенции, направлений деятельности организации необходимо установить весь состав циркулирующей в организации информации, отображенной на любом носителе, любым способом, в любом виде и в любой автоматизированной информационной системе или отдельном компьютере. Также необходимо учитывать перспективы развития организации и ее взаимоотношений с партнерами и заранее определять характер дополнительной информации, которая может возникнуть в результате деятельности организации. Данная информация классифицируется по тематическому признаку.

Второй этап. Определяется, какая из установленной информации должна быть ограниченного доступа и относиться к какому-либо виду тайн, за исключением государственной. Базовым критерием при этом является возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам. Этот критерий имеет две составляющие: неизвестность информации третьим лицам и получение преимуществ в силу этой неизвестности. Конфиденциальная документированная информация взаимосвязана и взаимообусловлена, поскольку, с одной стороны, неизвестность информации третьим лицам сама по себе ничего не значит, если не обеспечивает преимуществ, с другой - преимущества можно получить только за счет такой неизвестности. Конфиденциальность информации является правовой формой и одновременно инструментом обеспечения ее неизвестности.

Преимущества от использования информации, неизвестной третьим лицам, могут состоять в получении выгоды или предотвращении ущерба, иметь в зависимости от областей и видов деятельности экономические, моральные и другие характеристики, выражаться количественными и качественными показателями. Названный критерий является объективным показателем возможности отнесения информации к какой-либо тайне, мерилом придания информации статуса конфиденциальной. Это означает, что при отсутствии данного критерия нет оснований для перевода информации в категорию конфиденциальной - информации ограниченного доступа. Но это не означает, что при его наличии информация во всех случаях может и должна быть отнесена к конфиденциальной [209].

Третий этап. После установления состава информации определяется степень ее конфиденциальности. Степень конфиденциальности - это показатель уровня закрытости информации. Уровень закрытости зависит от величины ущерба, который может наступить при утечке информации. Чем больше этот ущерб, тем выше должна быть и степень конфиденциальности информации. Более подробно определение и использование отметки конфиденциальности на документах рассмотрено в разд.

Четвертый этап. Это этап определения конкретных сроков конфиденциальности информации либо обстоятельств и событий, при наступлении которых она снимается. Продолжительность конфиденциальности информации должна соответствовать срокам действия условий, необходимых и достаточных для признания данной информации конфиденциальной.

Результаты всех этапов работы оформляются Перечнем конфиденциальной документированной информации (форма 1).

При значительном объеме конфиденциальной информации она классифицируется в Перечне по разделам, соответствующим сферам деятельности организации, или по перечням конфиденциальной документированной информации структурных подразделений организации.

Руководством организации должна быть утверждена Экспертная комиссия по защите конфиденциальной информации (далее - Экспертная комиссия), одними из основных функций которой являются согласование и утверждение Перечня.

Перечень подписывается председателем и всеми членами Экспертной комиссии, утверждается и вводится в действие приказом руководителя организации. В приказе должны быть определены мероприятия по обеспечению функционирования Перечня и контролю за его выполнением. С приказом и Перечнем необходимо ознакомить под расписку всех сотрудников организации, работающих с информацией ограниченного доступа, за исключением той, которая представляет государственную тайну.

Копии Перечня или выписки из него должны быть направлены обладателям данной информации как в самой организации, так и вне ее. Ими являются физические или юридические лица, которым в силу служебного положения, договора либо на ином законном основании информация известна.

Дополнения и изменения состава включенных в Перечень сведений, а также изменение степени их конфиденциальности могут осуществляться с разрешения руководителя организации и вноситься в Перечень за подписями руководителей структурного подразделения по принадлежности информации, Службы безопасности организации (если такая служба предусмотрена в штатном расписании организации) и Службы делопроизводства. При существенном изменении состава сведений Перечень должен составляться заново.

В сферу конфиденциального делопроизводства входят наряду с документированной информацией (документами на бумажном носителе) базы данных, электронные документы и т. д., поэтому из всей совокупности информации, включенной в Перечень сведений, необходимо выделить состав документируемой информации и установить виды документов, в которых она должна быть зафиксирована.

Например, базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ) [5. ст. 1260].

В рамках критериев документирования определение состава документируемой информации должно увязываться с решением конкретных задач. В зависимости от назначения этой информации определяются конкретные виды документов. Виды КДИ необходимо устанавливать с учетом оптимального объема содержащейся в ней информации, исключающей избыточную, в том числе дублетную, информацию, поскольку избыточная информация - это конфиденциальные данные, утечка которых может нанести ущерб организации.

После установления состава документов определяется круг лиц. имеющих право создавать (составить) и подписывать (утверждать) каждый вид документа, а также предприятий и организаций, которым этот документ должен направляться. На данном этапе дополнительно определяется Перечень создаваемой конфиденциальной документированной информации (форма 2).

В Перечень может быть включена также графа "ФИО лиц, визирующих (согласовывающих) документы".

Грифы и сроки конфиденциальности документов должны соответствовать степеням и срокам конфиденциальности включаемой в документы информации.

Если документ подлежит утверждению, то в графе 6 сначала проставляются ФИО лица (лиц), подписывающего документ, затем, после слова "утв." - ФИО лица, утверждающего документ. При значительном количестве утверждаемых документов графа 6 может быть разделена на две графы: "ФИО лиц, имеющих право подписывать документы" и "ФИО лиц, имеющих право утверждать документы".

Если при направлении конфиденциальных документов другим предприятиям и организациям каждый адресат не должен знать, кому еще направлен данный документ, то в графе 8 по соответствующему виду документа после внесения адресатов делается пометка "Раздельное адресование", означающая, что на каждом экземпляре документа должен проставляться лишь адресат, которому направляется данный экземпляр.

Графу 9 следует использовать (при необходимости) для указания периодичности составления документов, а также для пометки о проставлении оттиска печати на соответствующих документах.

Перечень создаваемой конфиденциальной информации утверждается руководителем организации. Под расписку с ним должны быть ознакомлены все лица, нацеленные правом создавать, оформлять, визировать, подписывать и утверждать документы. Внесение в Перечень возможных последующих частичных уточнений или изменений может быть возложено на руководителей Службы безопасности и Службы делопроизводства организации, а также Экспертной комиссии.

При изменении Перечня конфиденциальной документированной информации соответствующие изменения вносятся и в Перечень создаваемой конфиденциальной документированной информации. О снятии грифа конфиденциальности информации с отправленных документов должны быть письменно оповещены организации и предприятия - адресаты.

В случаях необходимости создания разовых документов, не включенных в Перечень создаваемой конфиденциальной документированной информации, или дополнительных экземпляров документов, не предусмотренных Перечнем, их изготовление может производиться по совместному разрешению руководителей соответствующего структурного подразделения. Службы безопасности и Службы делопроизводства. Одновременно определяется целесообразность включения таких документов (дополнительных экземпляров) в Перечень конфиденциальной документированной информации. Служба делопроизводства совместно с руководителями соответствующих подразделений, а также Службой безопасности должна осуществлять контроль за соответствием создаваемых документов Перечню конфиденциальной документированной информации. Необходимость такого контроля обусловлена тем, что исполнители документов нередко допускают некоторые отступления от Перечня, например:

    - завышение или занижение отметки конфиденциальности документов; - проставление отметки конфиденциальности на документах, не содержащих конфиденциальной информации; - необоснованное включение конфиденциальной информации в документы и превращение тем самым открытых документов в конфиденциальные; - неправильное адресование документов; - непроставление отметки конфиденциальности на документах, содержащих конфиденциальную информацию.

Сведения Перечня конфиденциальной документированной информации необходимо использовать дня ведения Реестра конфиденциальной информации, циркулирующей в АИС (конечно, при наличии в организации такой системы), или, иначе, системы конфиденциального электронного документооборота. Организация и технологии разработки такого Реестра, необходимые для обеспечения режима конфиденциальности информации в данных системах, более подробно рассматриваются в разд. 3.7.

Похожие статьи




Основные этапы разработки. Перечня конфиденциальной документированной информации - Документирование конфиденциальной информации

Предыдущая | Следующая