Контроль исполнения конфиденциальных документов

ИБ-аутсорсинг
на базе DLP-системы

СёрчИнформ КИБ
30 дней для тестирования ИБ-аутсорсинга ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

В государственной организации или компании циркулируют документы с различной степенью конфиденциальности. Это могут быть документы, содержащие государственную или коммерческую тайну. Когда на основании поручения руководителя эти документы поступают на исполнение в подразделение, возникает риск, что к их содержанию получат доступ лица, не имеющие на это право, например, сотрудники отдела делопроизводства, обеспечивающие контроль за исполнением поручений, или специалисты IТ-подразделений, налаживающие программу электронного документооборота (ЭДО). Существуют организационные и технические решения, благодаря которым рисков утечки сведений из конфиденциальных документов можно избежать.    

Как организовать контроль исполнения документов

Документы, которые поступают на исполнение в подразделение юридического лица, бывают двух видов. Первая группа – это входящая корреспонденция, к которой относятся поручения вышестоящих организаций, запросы правоохранительных органов, письма от граждан, деловая переписка с контрагентами, претензии, договоры. Во вторую группу входят документы организации – поручения или приказы руководства, инструкции, проекты соглашений. Когда на основании какого-то документа сотрудники организации должны совершить ответные шаги (подготовить письмо – ответ на обращение, подобрать первичную документацию, произвести визирование), руководством назначается исполнитель. В поручении определяется срок исполнения. По его истечении соответствующие подразделения обязаны обеспечить контроль исполнения конфиденциальных документов с точки зрения своевременности и правильности. 

Как определяется конфиденциальность документов 

Уровень конфиденциальности зависит от статуса организации и ее отношения к сохранению режима коммерческой тайны. Для государственных компаний или фирм, работающих с государственным заказом, нередко сталкиваются с государственной тайной, охрана которой обеспечивается отдельными правилами, например, проставлением грифа конфиденциальности «секретно» и разрешением работать с такими данными только лицам, имеющим официальный допуск. 

Для частной фирмы конфиденциальность определяется фактом внесения соответствующих данных в список информации, относящейся к коммерческой тайне. Ее режим регулируется нормами ГК РФ, а преднамеренное разглашение может караться в рамках административного и уголовного кодекса. Чтобы коммерческая информация получила такой статус, в организации необходимо издать приказ о том, что вводится в действие режим коммерческой тайны, и ознакомить с ним под роспись сотрудников. Приложением к такому приказу является перечень сведений, составляющих коммерческую тайну. 

Поскольку речь идет о контроле исполнения конфиденциальных документов, в перечень должно попасть положение, что к коммерческой тайне относятся все сведения, связанные с таким контролем. В некоторых компаниях в режиме коммерческой тайны обрабатываются все поручения и документы, стоящие на контроле исполнения. 

Такую же оговорку необходимо сделать по отношению к документам, содержащим персональные данные, так как их правовой статус относит их к конфиденциальным сведениям.

Все процедуры, относящиеся к обработке конфиденциальных документов, должны быть отражены во внутренних положениях компании. Сотрудники должны быть проинформированы о том, что сведения о порядке исполнения, сроках, назначенных для обработки и подготовки ответов, не должны доверяться третьим лицам. В компании должна формироваться корпоративная культура, в которой единственный намек на то, что документ имеет статус конфиденциального, должен повышать внимательность по отношению к нему. 

Контроль исполнения конфиденциальных документов

Обычно в организации создается два внутренних положения, определяющих порядок контроля за исполнением. Первое касается исполнения документов любого уровня, второе – только конфиденциальных. 

Этапы контроля выглядят следующим образом: 

  • генерация конфиденциального документа или его поступление в компанию;
  • подготовка поручения. Чаще всего оно выглядит как резолюция, когда на документе или на прикрепленном к нему бланке пишутся ответственный исполнитель, другие лица, отвечающие за подготовку ответа, какие-либо замечания и дата исполнения. Именно эти данные вносятся в журналы контроля;
  • постановка поручения на контроль. На контроль ставятся не все документы конфиденциального характера, а только наиболее важные, на которые необходимо дать срочный ответ или иным образом исполнить содержащиеся в них требования. В этом случае на документе ставится отметка «На контроль», он учитывается в журнале отдела делопроизводства. В системах ЭДО обычно контролируется исполнение всех документов, назначенному сотруднику приходит напоминание об истечении предусмотренных для поручения сроков выполнения;
  • проверка соблюдения предварительного срока выполнения;
  • продление срока или отказ от продления;
  • проверка исполнения на итоговом сроке.

На всех стадиях допуск к секретным данным, содержащимся в конфиденциальных документах, могут получить неуполномоченные лица.

Решением вопроса исполнения конфиденциальных документов с точки зрения распределения их по зонам ответственности становится создание ступенчатой системы обработки, в которой документы с высокой степенью секретности могут быть переданы только уполномоченным лицам:

  • решение об отнесении входящей корреспонденции к той или иной категории принимает уполномоченный сотрудник отдела делопроизводства;
  • секретный документ расписывается только тем руководителям подразделений, которые имеют соответствующий допуск;
  • исполнитель назначается по тем же принципам;
  • контроль исполнения может быть поручен любому сотруднику отдела делопроизводства при условии, что он не будет ознакомлен с текстом документа.

При реализации такой структуры обработки на уровне ручного режима утечка данных из-за действий неуполномоченного лица маловероятна. В некоторых компаниях и государственных организациях создается подразделение конфиденциального делопроизводства, через которое проходят секретные документы. Сотрудник, которому поручена обработка документов, должен сверить количество листов, а также проконтролировать, совпадает ли учетный номер документа с тем, который зафиксирован в журналах учета.

Также передача документов от исполнителя к исполнителю происходит непосредственно, без привлечения сотрудников подразделения. Передача оформляется распиской, позволяющей установить сроки, в которые передан документ. Существует ситуация, в которой конфиденциальный документ адресован только для информирования и не требует исполнения. Обычно его доставляют специальной почтой, хранят в отдельных помещениях с ограниченным доступом. 

В этой ситуации ознакомление с ними сотрудников происходит под роспись в подразделении, отвечающем за конфиденциальный документооборот. В современном мире эта процедура иногда оказывается архаичной, но для высокой степени конфиденциальности необходимо исключить любые возможности скопировать информацию и передать ее третьим лицам. Подписи, говорящие о том, что ознакомление произведено, могут ставиться как на самих документах, так и на специально созданных листах или в учетных книгах. Это отдельные журналы регистрации, с которыми могут работать только сотрудники, имеющие доступ к данным, содержащим государственную тайну. Такие документы, равно как и процесс их исполнения, никогда не попадут в системы электронного документооборота. 

При организации контроля исполнения конфиденциальных документов в системах ЭДО возникают свои сложности. В любой компании в них попадают сведения, носящие характер коммерческой тайны, персональные данные сотрудников. В них же обрабатываются и поручения, в результате контроль исполнения документов конфиденциального характера становится непростой задачей. Системный администратор, в случае если отдельные документы в этой системе отмечаются значком «важно» или «секретно», понимает, что именно представляет интерес для конкурентов. Так же легко, в случае проникновения в систему ЭДО, наиболее важные сведения найдет и хакер. Внимание злоумышленника особенно привлекут документы, которые поставлены на контроль исполнения. Эта процедура говорит об их важности для компании, а значит, и для конкурентов. Задача защиты таких документов решается определенными требованиями к информационным системам, определяющим уровень безопасности.

В ряде компаний система ЭДО настраивается таким образом, что компьютеры ее пользователей не подключены к Сети, соответственно, данные о порядке исполнения конфиденциальных документов не могут быть переданы третьим лицам напрямую. Но такая настройка исключает возможность гибкой работы с мобильных устройств: пользователи привязаны к своим рабочим местам, не имеют возможности выполнять поручения удаленно.

Исполнение документов как процесс остается неотъемлемой частью работы большинства крупных компаний, вынужденных создавать отдельные подразделения и бизнес-процессы, посвященные этому вопросу. Несмотря на то, что это отвлекает значительные финансовые и человеческие ресурсы, часто только такое решение может уберечь ценные сведения от их распространения и передачи конкурентам, иным заинтересованным лицам.

14.11.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними