Содержание к диссертации
Введение
ГЛАВА 1. Информационные ресурсы современной организации и их конфиденциальная составляющая
1.1 Роль информационных ресурсов в структуре современного управления 14
1.2. Конфиденциальная документированная информация в системе информационных ресурсов 23
1.3. Проблемы обеспечения режима конфиденциальности 29
ГЛАВА 2. Социально-управленческие технологии защиты конфиденциальной документированной информации .
2.1. Объективная необходимость защиты конфиденциальной документированной информации: социальные аспекты 41
2.2. Правовая база в сфере защиты конфиденциальных ресурсов 54
2.3. Современные методы регулирования защиты конфиденциальной документированной информации (на примере российских корпораций) 69
ГЛАВА 3. Основные направления организации защиты конфиденциальной информации .
3.1. Сущность и особенности организации конфиденциального документационного обеспечения управления 78
3.2. Этапы организации конфиденциального делопроизводства 88
3.3. Кадровое обеспечение служб конфиденциального документационного обеспечения управления как элемент информационной безопасности 105
Заключение 117
Приложение 121
Список литературы 149
- Роль информационных ресурсов в структуре современного управления
- Конфиденциальная документированная информация в системе информационных ресурсов
- Объективная необходимость защиты конфиденциальной документированной информации: социальные аспекты
- Сущность и особенности организации конфиденциального документационного обеспечения управления
Введение к работе
Актуальность. Важность и значимость проблемы информационной безопасности современных российских организаций определяется тем, что формирование в нашей стране правового и социального государства обуславливается не только всесторонним и полноценным юридическим обоснованием деятельности организационных образований, но и формированием правил и процедур их эффективного функционирования, в том числе в области работы с информационными ресурсами. Для упрочения российской государственности, в условиях интеграции в мировое информационное пространство и вступления России в ВТО, рациональное управление информационной сферы на всех уровнях может послужить одной из важных опорных точек укрепления аппарата управления и стать существенным элементом стабильности государства и общества в целом.
Опыт многих развивающихся стран показывает, что приоритетное развитие информационного сектора в силу стратегического характера информационных ресурсов позволило многим государствам преодолеть огромный разрыв в уровне экономического, правового и социального развития по сравнению с развитыми странами..
Сегодня во всех сферах государственной жизнедеятельности происходит структурная перестройка, связанная с ростом информационного сектора и, соответственно, влекущая за собой значительные социальные, политические и культурные изменения в обществе.
В настоящее время данная проблема актуализируется стремительным развитием новых информационных технологий, которые коренным образом изменяют процессы функционирования как общества в целом, так.и его структурных частей. Особенно динамично развивается сфера информатизации процессов управления. Особенностью современных управленческих технологий является то, что они основаны, в первую очередь, на производстве и потреблении информации. Качество
используемой информации определяет качество управления и, как следствие, формирует условия для эффективного функционирования самих организаций.
В связи с этим изучение роли информации, её особенностей и методов информационной безопасности представляет сегодня значительный теоретический и практический интерес.
Выбор сферы социально-управленческих аспектов защиты конфиденциальной документированной информации российских организаций в качестве приоритетного объекта информационной безопасности достаточно очевиден. С одной стороны, документированная конфиденциальная информация является наиболее значимой частью информационных ресурсов, охватывающей все сферы деятельности организаций и формирующей эффективность и стабильность бизнес-процессов. С другой стороны, объективные условия рыночной конкуренции ставят задачи защиты этого ресурса в число первоочередных и требуют новых решений в вопросах информационной безопасности. Сегодня информационная сфера, особенно в части конфиденциальных сведений, все чаще становиться объектом соперничества и нечистоплотных технологий. Причем, приоритет уязвимости информации в настоящее время смещен с внешних угроз (например, компьютерного взлома баз данных) на внутренние - 78 % конфиденциальной информации «утекает» при помощи инсайдеров с правом доступа к этим сведениям.1
Следовательно, основой решения проблемы информационной безопасности должна стать последовательная корпоративной политика в области кадрового и социального управления, отвечающая всем современным требованиям по подбору, унификации деятельности персонала, всестороннему контролю их деятельности, формированию у
1 Данные исследовательского проекта «Информационно-технические угрозы в России», опубликованные на сайте от 22.11.2005.
сотрудников чувства корпоративности. Решение социально-
управленческих вопросов (нормативное, правовое, кадровое и социальное обеспечение) становится сегодня значимым условием информационной безопасности организации и защиты сведений, составляющих коммерческую тайну. Без такой системы защита интересов организации как собственника конфиденциальной информации нереализуема.
Все эти обстоятельства обуславливают актуальность и практическую значимость исследования избранной темы.
Степень научной разработанности проблемы. Следует отметить, что вопросы комплексного подхода к информационной безопасности организаций как симбиоза организационно-управленческого, нормативно-правового, кадрового и социального обеспечения их деятельности, как в отечественной, так и в зарубежной, литературе не ставились. Работы современных исследователей рассматривают лишь различные аспекты информационной безопасности конфиденциальных ресурсов организаций.
Информация и процессы информатизации в основном были предметом изучения философских и естественно-технических наук, которые сосредотачивались в большей степени на мировоззренческих аспектах и программно-технических средствах. Документированная информация, в том числе конфиденциальная, - предмет изучения документоведческих наук, представители которых, рассматривают документированную информацию с позиций её прикладного назначения, вынося за рамки исследования перемены в социально-информационной среде. Такой подход, несомненно, тормозил процесс использования информации в управлении социальными процессами и защиты информационных ресурсов.
В тоже время по избранной теме опубликован ряд работ, которые можно использовать при анализе проблем информационной безопасности, в том числе и защите конфиденциальных ресурсов организаций.
Степень научной разработанности темы целесообразно оценивать по нескольким направлениям.
Во-первых, это работы, связанные с изучением социальных условий, в которых происходит информатизация и связанные с ней процессы субъект-объектных взаимоотношений, а также процессы интеллектуализации общества в целом. К ним относятся труды известных ученых, разрабатывающих теорию постиндустриального и информационного общества (Белл Д., Гоулднер А., Масуда И., Стоуньер Т., Тоффлер А. и др.), а также работы в области социологии управления и социологии труда, сформировавшие основные принципы субъективных взаимоотношений, реализуемых в процессе управлении (исследования Г. Беккера, Р. Козера, А. Маслоу3, Ф. Тейлора, А. Файоля и др.).
Во-вторых - исследования междисциплинарного характера, связанные с прохождением информационных процессов и анализом их социальных аспектов. В числе российских исследователей можно отметить труды Афанасьева В.Г., Моисеева Н.Н. Ракитова А.И., Родионова А.А., Колина К.К., Никитова В.А.4, Плотинского Ю.М., Шаркова Ф.И., Суслакова Б.А., Урсула А.Д., Халипова В.Ф., Мелюхина И.С., Яковцева Ю.В. и др.
В третьих - исследования зарубежных авторов в области управления документацией (Кр. Хайвз5, А. Рикс, К. Хар, Д. Маклеод, Д. Дж. Макдональд, Саммервил, Д. Стефенс и др.), которые определяют современную управленческую документацию как неотъемлемую составную часть информационных ресурсов организации и выдвигают требование
2 Белл Д. Грядущее постиндустриальное общество. М., 1999.
3 Маслоу А.Г. Мотивация и личность. Спб.: Евразия, 1999.
Никитов В.А. и др. Информационное обечспечение государственного управления. М.: Славянский диалог, 2000.
Хайвз Кр. Управление документацией, информацией и архивами на фирмах// СИФ ОЦНТИ ВНИИДАД, № 889 «п».
включения структур управления документацией в общую инфраструктуру организаций6.
Следует отметить, что в последние годы заложены основы нового научного направления в социологии - социология информатизации. Рядом исследователей (Соколова И.В.) разработано теоретико-методологическое обоснование этого раздела социологической теории, исследующей информационные процессы в социальном пространстве современного постиндустриального общества.
Кроме того, вопросы информатизации процессов управления стали темой разработки российских ученых Ларина М.В. , Андреевой В.И., Волкова Е. А. , Кузнецовой Т.В., Лившица ЯЗ., Мингалева B.C., Пшенко А.В., Соковой А.Н., которые рассматривают документированную информацию не только как основной ресурс управления, но и определяют информационную инфраструктуру как сложную систему, компонентами которой являются технологии работы с информацией, а также, информационный персонал, реализующий эти технологии. Основным назначением информационной инфраструктуры, по мнению авторов, является «объединение всех уровней управления, включая рабочие места, в эффективно действующий на базе созданных информационных ресурсов механизм достижения целей организации»9.
Значительный вклад в разработку методов обеспечения информационной безопасности бизнеса в области технического обеспечения методов защиты внесли работы А.П. Курило10, В.А. Гамза, В.Б. Голованова, А.Н. Иконникова. Проблема нормативно-правового
6 Menne-Haritz A. Dokumentenverwaltungsysteme und offentliche Verwaltung: Wo ist der Sand im Oetriebe? II Deutschcr Dokumentartag 1994. Proceedings, DGD, 1994, с 11-38
Ларин М.В. Информационный менеджмент и управление документацией / Документ в административных структурах: Тез. докл. и выступлений на междунар. Конф. 27-28 окт. 1994 г.// ВНИИДАД. М, 1995. С. 21-33.
8 Волков Е.А. Информатизация управления. М., 1990.
9 Ларин MB. Управление документацией и новые информационные технологии. — М.: Научная книга,
1998.
10 Обеспечение информационной безопасности бизнеса /Курило А.П. и др. М.: БЦД-пресс, 2005.
регулирования документационного обеспечения управления в области конфиденциального делопроизводства рассматриваются в работах И.Л. Бачило", М.Н. Костомарова12, В.Л. Кузнецова, М.Д. Надершиной, В.И. Тихонова. В плане исследования проблем управления персоналом в сфере информационных технологий следует отметить современные исследования В.Б. Вехова13, Е. Н. Гаврюшина14, А.Я. Кибанова, А.А. Малюк15, Г.А. Мамед-заде, Т.А. Родкиной.
Следует отметить, что вышеперечисленные работы рассматривают различные аспекты управления и защиты конфиденциальных ресурсов организации. На сегодняшний день нет ни одного исследования, в котором проблемы информационной безопасности рассматривались в комплексе позиций таких составляющих как управленческое, организационно-правовое и кадрово-социальное обеспечение деятельности персонала служб конфиденциального делопроизводства с целью защиты сведений, содержащих коммерческую тайну.
Недостаточная разработанность и практическая значимость исследуемой проблемы определили тему, объект и предмет, цель и задачи диссертационного исследования.
Объектом исследования являются социальные аспекты обеспечения информационной безопасности конфиденциальных ресурсов современных организаций с различной формой собственности.
Предметом исследования являются социально-управленческие технологии защиты конфиденциальной документированной информации в организациях.
Бачило И.Л. Современные правовые проблемы документирования информации/ документация в информационном обществе: электронное делопроизводство и электронный архив// ВНИИДАД. М., 2000.
Костомаров М.Н. коммуникации как среда реализации функции информационного менеджмента/ «Секретарское дело», 1998, № 4. С. 58-61. 13 Вехов В.Б. Компьютерные преступления. М., 1990.
Гаврюшин Е. Человеческий фактор в обеспечении безопасности конфиденциальной информации/ «В мире права», 2002, № 2.
15 Малюк А.А. Проблемы кадрового обеспечения информационной безопасности / «Безопасность информационных технологий», 1982, № 2.
Цель и задачи исследования. Решение сложных проблем информационной безопасности зависит не только и даже не столько от технических и технологических факторов, сколько от факторов социально-управленческих. Исходя из вышеизложенного, целью диссертации является разработка социально-управленческих технологий защиты конфиденциальной документированной информации, проводимая по следующим направлениям:
организация документационного обеспечения управления в части управления конфиденциальными документами,
корпоративное нормативно-правовое обеспечение служб конфиденциального документационного обеспечения управления (далее-КДОУ);
кадровая политика в этой области.
Реализация поставленной цели потребовала решения следующих задач:
исследовать роль информационных ресурсов в сфере современного управления и конфиденциальной информации как составной части управленческой информации;
раскрыть содержание и структуру таких понятий как «информационная безопасность» и «защита информации» и их состояние в современных российских компаниях;
исследовать специфику управления информационной безопасностью в различных российских организациях;
провести анализ нормативно-правовой базы сферы информационной безопасности в части конфиденциального документооборота;
предложить социально-управленческие технологии организации служб конфиденциального делопроизводства как системы комплексной защиты информации, содержащей коммерческую тайну.
Теоретической и методологической основой исследования явились труды отечественных и зарубежных исследователей по проблемам социального управления и социальной политики, управления документационными ресурсами, законодательные акты в этой области, а также концептуальные разработки ряда крупных корпораций. Интеграция основных положений этих работ позволила сформировать: комплексный подход к изучаемому объекту; методологическую основу организации работы персонала КДОУ, в т.ч. и методы защиты конфиденциального документооборота; нормативно-правовое обеспечение функционирования организаций в сфере информационной безопасности; социальный аспект управления в области защиты информации.
В ходе исследования также использовались: а) системный подход, в соответствии с которым анализировались аспекты защиты конфиденциальных информационных ресурсов; б) структурно-функциональный метод; в) классификационно-типологический анализ; а также г) социологические методы: анализ документов, опрос, в том числе экспертный опрос.
Информационную и статистическую базу исследования составили опубликованные данные социологических опросов по материалу исследования, материалы служб безопасности Пенсионного Фонда Московской области, Альфа-Банка и др., а также данные авторских обследований работы служб ДОУ Министерства образовании РФ, Департамента образования г. Москвы, Учебно-методическом центре Департамента образования г. Москвы, Комитете образования Администрации Балашихинского района и отдельных организаций (региональные отделения налоговой полиции, отделения милиции ВАО г. Москвы). Также автор использовал результаты собственных исследований: 1) опрос сотрудников служб информационной безопасности российских
16 Например, Концепция информационной безопасности банков России.
организаций (N - 440 респондентов); 2) экспертный опрос менеджеров по ДОУ (было опрошено 75 руководителей разных уровней); 3) анализ комплексов управленческой документации государственных и коммерческих структур.
Научная новизна диссертации состоит в том, что эта работа является одной из первых попыток комплексного исследования особенностей субъект-объектных информационных взаимоотношений в процессе реализации защитных технологий в области информационной безопасности конфиденциальных ресурсов по трем направлениям: организационно-методическое, нормативно-правовое и кадровое обеспечение служб КДОУ.
К числу наиболее существенных результатов работы, обладающих научной новизной и характеризующих личный вклад автора относятся:
обоснована необходимость включения конфиденциальной информации как составляющей информационных ресурсов в спектр социально-управленческих процессов. В диссертации даны определения, структура и особенности таких понятий как «информация», «информационная инфраструктура», «документированная информация»; выявлена роль документированной информации, содержащей конфиденциальные сведения, как одно из условий функционирования сферы управления в различных областях государственной и общественной жизнедеятельности;
автором выявлены основные особенности, взаимосвязь и взаимообусловленность организационных и социальных аспектов информационной безопасности;
проведен анализ состояния современного законодательства и внутрикорпоративной нормативной базы в данной сфере и выявлена тенденция формирования регламентации процессов информационной безопасности как наиболее эффективного социально-правового механизма управления в российских корпорациях;
раскрыты субъективные аспекты нарушения режима конфиденциальности при автоматизации документационного обеспечения управления. В диссертации проведена систематизация наиболее уязвимых элементов защиты конфиденциальной документированной информации в условиях автоматизации процессов управления, выявленных при проведении аудиторских проверок деятельности служб конфиденциального ДОУ различных российских организаций;
разработаны социально-управленческие технологии корпоративного управления процессами защиты конфиденциальной информации;
показано, что комплексная организация служб конфиденциального
документационного обеспечения управления является основой
информационной безопасности организации. В диссертации обозначены
основные направления реализации кадровой политики, основанные как
на зарубежном опыте, так и на опыте российских корпораций и даны
рекомендации по их применению.
Практическая значимость диссертационного исследования состоит в обосновании социально-управленческих технологий, позволяющих осуществить комплексную организацию служб документационного обеспечения управления и сформировать внутрикорпоративную социально-правовую базу по организации защиты конфиденциальной информации в компаниях. Сформулированные и обоснованные в исследовании научные методики организации служб КДОУ затрагивают все виды работы персонала с документами, содержащими коммерческую тайну, и могут быть непосредственно использованы в деятельности организаций с различными формами собственности.
Кроме того, материал, изложенный в диссертации, может быть использован в учебном процессе высшей школы по подготовке специалистов в области социологии управления, а также в системе
повышения квалификации руководителей и сотрудников служб документационного обеспечения управления.
Апробация работы. Предложенный в диссертации комплексный подход к постановке в организации комплексной методики по документационному обеспечению управления в сфере конфиденциальной информации принят к использованию на предприятиях различных форм собственности, в частности ООО «СМУ«ПиК», ОАО УСМР-215. Апробация показала, что социально-управленческие технологии, предлагаемые в диссертации, являются эффективными и финансово малозатратными. Кроме того, была проведена апробация элементов диссертационной работы в деятельность государственных организаций. Так, методика составления Номенклатуры дел была использована в работе Учебно-методического центра Департамента образования г. Москвы.
Также, полученные материалы используются соискателем для консультативной помощи, оказанной Департаменту образования г. Москвы и при оказании методической помощи в организации учебного процесса Средней школы милиции г. Москвы.
Роль информационных ресурсов в структуре современного управления
Формирование единого мирового информационного пространства и интеграция в него России повлекло трансформацию понятий, связанных с информацией и её ролью в современных управленческих процессах. Возрастающая роль информации нашла отражение в ряде законодательных актов, которые регламентировали сферу работ, связанных с информационными процессами и информационными ресурсами организационных образований различных уровней и тем самым определили роль и значимость информации в современных экономических условиях.
Термин «информация» (лат. informatio - разъяснение, изложение) имеет множество значений, из которых наиболее общее и широкое -«отраженное многообразие». Федеральный закон «Об информации, информатизации и защите информации» 17трактует понятие «информация» как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». Такое значение позволяет рассматривать информацию как сложную систему, состоящую из множества элементов и механизмов их взаимодействия. Современное управление организационными образованиями различного уровня напрямую зависит от состава получаемой, перерабатываемой и создаваемой в рамках данной организации информации. Собственно говоря, современное управление можно представить в виде своеобразного триединства: субъекта управления, объекта управления и информации. В этом «триумвирате» информация играет роль своеобразного буфера, связывающего субъект и объект управления на всех уровнях иерархии, а также саму систему - организацию - с внешнем миром. Внешние и внутренние источники информации, которые оказывают влияние на организацию, образуют ее информационную среду. На ее основе в процессе деятельности организации возникает информационная инфраструктура как специальная система жизнеобеспечения, предлагающая пользователям соответствующую информацию. Основными элементами информационной инфраструктуры являются информация, информационные технологии и информационный персонал. Информационные процессы, протекающие в организации во взаимодействии с внешней средой и охватывающие информационные потоки, призваны объединить все уровни управления, включая рабочие места, в эффективно действующий на базе созданных информационных ресурсов механизм достижения целей организации. Взаимодействие и взаимообусловленность элементов информационной инфраструктуры обеспечивает достижение управленческих целей на базе создаваемых информационных ресурсов. В настоящее время информация рассматривается как ресурс, который, как и традиционные ресурсы (труд, энергия, полезные ископаемые) можно добывать, перерабатывать использовать, распространять. Отношение к информации как к ресурсу по аналогии с другими ресурсами организации предполагает создание механизма управления информационными ресурсами, формирования соответствующих структур, выработку новых технологий.
Согласно Федеральному закону «Об информации, информатизации и защите информации» под информационными ресурсами понимаются отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах.
Обязательным условием включения информации в информационные ресурсы является документирование информации. Таким образом, документ является первичной основой информационных ресурсов. Как носитель информации документы выступают в качестве непременного элемента внутренней организации любого учреждения, предприятия, организации, являясь основанием для принятия решений, служат юридическим доказательством их исполнения и источником для обобщений и анализа, а также материалом для справочно-информационной работы. В управленческой деятельности документ выступает и как предмет труда, и как результат труда, так как принятое решение фиксируется и юридически закрепляется в нем.
Посредством документов выражаются все формы управленческой деятельности и, таким образом, документация, будучи тесно связанной со всеми функциями управленческой деятельности, используется аппаратом управления в качестве способа и средства реализации возложенных на него задач.
Теория документоведения рассматривает документ (документированную информацию) как сложный объект, представляющий собой единство информации и материального носителя, на котором эта информация зафиксирована.
Документ представляет собой относительно самостоятельную систему благодаря наличию собственных признаков и свойств, обуславливающих его значимость для управления - оперативность, достоверность, его качество, степень полноты для удовлетворения совокупных информационных потребностей организации.
Названные в определении признаки документа предполагают наличие информации, смыслового содержания; стабильную материальную форму, обеспечивающую долговременное использование и хранение документа; функциональную предназначенность для передачи во времени и пространстве, т.е. для использования в социальных коммуникационных каналах.
Конфиденциальная документированная информация в системе информационных ресурсов
Конфиденциальное делопроизводство распространяется на документы, содержащие коммерческую и служебную тайны. Несмотря на различные виды тайн, эти документы идентичны по технологическим процедурам их составления, обработки, обращения, хранения и защиты.
Конфиденциальная информация является фундаментальной основой информационного ресурса любой организации, её интеллектуальным продуктом. Интеллектуальный продукт, как составной элемент интеллектуальной собственности является категорией стоимостной и характеризуется размером прибыли при её успешном использовании или размером убытков при её утрате. Именно эта информация лежит в основе управлении, позволяя осуществить полноценную информационную поддержку управленческих процессов и накопить информационный ресурс в целях развития организации. Конфиденциальная информация -неприкосновенный запас организации любого уровня. Именно от неё зависит полноценная деятельность, а порой и существование самой организации.
Значимость конфиденциальных сведений для жизнедеятельности организации предполагает четкие механизмы работы с подобной документацией.
Конфиденциальное делопроизводство определяется как деятельность, обеспечивающая документирование, организацию работы с конфиденциальными документами и защиту, содержащейся в них информации.
Правильная постановка документационного конфиденциального документационного обеспечения управления - проблема, относительно мало исследуемая в современной научной литературе. Существует ряд публикаций, отражающих проблемы, возникающие в процессе работы с конфиденциальной информацией и предлагающие методы их разрешения, тем не менее, проблема постановки конфиденциального делопроизводства на сегодняшний момент требует более глубокого подхода.
В настоящее время постановка конфиденциального документационного обеспечения управления усложняется внедрением информационных технологий, автоматизированных систем управления, которые с одной стороны, ускорили процессы принятия управленческих решений и их реализации на практике. Но, с другой стороны, информатизация управления показала негативные стороны постановки современного ДОУ. Выпущенные на российский рынок делопроизводственные программы зачастую не отвечают требованиям государственных стандартов.
Несомненно, необходимым условием для создания программного продукта является его техническая разработка, а обязательным условием его успешного внедрения и дальнейшего эффективного функционирования - привлечение специалистов-документоведов, владеющих методиками работы с документами, знающими специфику этой работы в каждой организации. Отсутствие скоординированной деятельности специалистов этих направлений приводит к несовершенству программных продуктов. При их кажущемся многообразии программного обеспечения, ведение делопроизводство сводится к использованию текстового редактора МС WORD или программы ECXEL, что, конечно же, не отвечает требованиям, целям и задачам документационного обеспечения управления.
Несовершенство отражается на ведении дел, как в общем, так и в конфиденциальном делопроизводстве. На практике это зачастую приводит к нарушениям четкой структуры работы. Например, во многих организациях некоторые виды делопроизводственных работ (такие как регистрация, контроль исполнения) ведутся параллельно на бумажном носителе и в электронном виде. Это приводит не только к дублированию документации и нагрузкам персонала, но и в этой неразберихе появляется возможность для утечки информации. Особенно остро эта проблема встает относительно сведений, конфиденциального характера.
Кроме того, одной из проблем, затрагивающих постановку современного конфиденциального ДОУ, является необходимость разработки научной методологии проблем документационного обеспечения управления в современной России.
Трансформация делопроизводства в документационное обеспечение управления, как переходной стадии к управлению документами и формированию такой отрасли, как информационный менеджмент, отразило общественные процессы, происходившие в России в последние десятилетия XX века.
Делопроизводство определяется как отрасль деятельности, обеспечивающая документирование и организацию работы с официальными документами. ГОСТ одновременно понимает делопроизводство и как документационное обеспечение управления.27 Специалисты, работающие в сфере управления документами, рассматривают делопроизводство как техническую функцию управления, распространяемую лишь на организационно-распорядительную документацию, а документационное обеспечение управления - как функцию, обеспечивающую процесс управления в целом и охватывающую всю документацию организации, что в значительно большей степени позволяет использовать информационно-технологическую составляющую в работе с документами. «Делопроизводство — в большей степени формальное понятие (регламент, правило, условие, конструкция), жестко определяющее порядок работы с документами (инструкция по делопроизводству).
Объективная необходимость защиты конфиденциальной документированной информации: социальные аспекты
Одной из основных проблем, затрагивающей все отрасли деятельности государства и его институтов является проблема, возникшая в результате интенсивного развития информационных технологий, проникновения их во все сферы деятельности. Трансформация понятия «информация» и её роли в процессах управления на всех уровнях привела к осознанию того факта, что с развитием информационных технологий возникают и растут риски, связанные с их использованием.
Практика последних десятилетий показала, что тема информационной безопасности особенно в части информации, содержащей коммерческую тайну, напрямую связана с рисками бизнеса. Конфиденциальная информация как объект деятельности современных экономических отношений является прямым источником дохода и выступает как объект взаимоотношений субъектов бизнеса с одной стороны, а с другой стороны являясь важнейшим ресурсом деятельности она выступает объектом повышенного риска, подвержена угрозам как внутреннего, так и внешнего характера. Т.е. в процессе экономической или иной деятельности любого субъекта (собственника или владельца конфиденциальной информации) имеются конкретные цели, направленные на получение от объекта деятельности (в данном случае - информации), которым он владеет, дохода, максимальной прибыли или иных полезных для него результатов в условиях минимизации рисков, обеспечивающих стабильность и устойчивость деятельности. В этих условиях любая потеря
конфиденциальной информации или даже её части может привести к катастрофическим последствиям как для бизнеса, так и для субъекта (собственника или владельца информации). Именно поэтому защита конфиденциальной информации является на сегодняшний день приоритетной в бизнесе.
Понятия «защита информации» и «информационная безопасность», как это ни парадоксально, даже специалистами подменяются на широко известную и традиционную среди технических специалистов частную защиту информации от утечки по различным физическим каналам.
В то же время информационная безопасность, равно как и защита информации - это частное (применительно к конкретным технологиям) отражение общего феномена, называемого «безопасность», который имеет вполне определенные свойства и подчиняется конкретным правилам. Упрощенное понимание этих понятий искажает взгляды на проблему и в результате может ослабить реальный уровень безопасности в сфере информации.
Доктрина информационной безопасности определяет информационную безопасность как «состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства». Анализ этой дефиниции позволяет говорить об информационной безопасности как о некоем специфическом состоянии защищаемого объекта - информации.
Международный стандарт определяет информационную безопасность как «механизм защиты, обеспечивающий: а) Конфиденциальность, т.е. предоставление доступа к информации только для авторизованных пользователей; b) Целостность: достоверность и полнота информации и методов её обработки; c) Доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Информационная безопасность достигается путем реализации соответствующего комплекса мер контроля, которые могут быть представлены методами, процедурами, организационными структурами и функциями программного обеспечения.
Указанные меры (средства) контроля имеют цель обеспечить достижение информационной безопасности организации».39
Опираясь на определения Доктрины и международный стандарт, можно сформулировать понятие информационной безопасности как состояние защищенности интересов или целей заинтересованного субъекта (собственника) в информационной сфере.
Т.е., понятие «информационная безопасность» и понятие «защита информации», в контексте данной позиции, практически идентичны и включают в себя комплекс мер различного характера - организационные, технические и др.
Тем не менее, с позиций прикладного использования данных понятий, для определения четких целей и задач сферы защиты информации необходимо определить границы и сущность понятий «информационная безопасность» и «защита информации».
Защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации только этим было бы неверно. Защита информации - понятие системное. Она включает и такие компоненты как: объекты защиты, органы защиты, пользователи информации.
Сущность и особенности организации конфиденциального документационного обеспечения управления
Наиболее продуктивной является система, действующая в Федеральной службе безопасности Российской Федерации. Но, данная организация, является закрытым учреждением с повышенным уровнем защиты. Она не афиширует методы и средства, применяемые в рамках её деятельности.
Естественно, многие организации, как государственные, так и коммерческие, самостоятельно разрабатывают действенные системы защиты конфиденциального делопроизводства. Но, действуя в рамках существующего законодательства, разработчики защитных систем сталкиваются с несовершенством их правового обеспечения.
Разновидностями построения служб КДОУ являются:
1. Служба конфиденциального делопроизводства является самостоятельным подразделением, непосредственно подчиняющимся руководителю организации или первому заместителю руководителя. (Централизованный способ).
2. Служба конфиденциального делопроизводства входит в структуру службы безопасности.
3. Работой с конфиденциальными документами занимаются ведущие специалисты структурных подразделений, которые в этом вопросе подчиняются непосредственному руководителю (децентрализованный способ).
Анализ ведения конфиденциального делопроизводства в ряде организаций показывает, что второй и третий способы организации работы с конфиденциальными документами создают предпосылки для несанкционированного доступа к конфиденциальным сведениям.
При нахождении службы конфиденциального делопроизводства в структуре службы безопасности нередко происходит подмена функций. Это, прежде всего, связано с тем, что кадровый состав службы безопасности вышел из правоохранительных органов, и их задачи далеки от проблем делопроизводства. Вследствие этого, руководители службы безопасности, не владея особенностями делопроизводства, считают их второстепенными по значимости, доводят их до руководства с задержками или не доводят вообще, что в конечном итоге, затрудняет мобильное принятие решений. Порой решения не принимаются вообще. Акцент в работе, прежде всего, делается на обеспечение чисто физической защиты, охраны помещений и пропускного режима.
При децентрализованном способе организации службы конфиденциального делопроизводства риск потерять конфиденциальную информации еще увеличивается и может достигать 100%, даже при исполнении сотрудниками, работающими с этой категорией документов, всех требований безопасности. Тем не менее, сегодня этот способ распространен как в небольших, так и в крупных коммерческих организациях.
Служба конфиденциального делопроизводства как самостоятельное подразделение является наиболее оправданным способом защиты конфиденциальных сведений и имеет преимущества перед другими. Оно может эффективно решать основные задачи координации деятельности в области защиты информации всех служб организации, реализуя при этом комплексный подход. Такой вывод, в частности, следует из анализа приведенных выше функций и задач обеспечения информационной безопасности с точки зрения подразделений, к которым эти задачи относятся (специалисты подразделений с которыми, например, согласовываются конфиденциальные документы).
Реализация процедур решения сложнейших вопросов организации конфиденциального документооборота, в части создания, хранения и использования конфиденциальных документов, резко облегчается, когда независимость и самостоятельность подразделения позволяет мобильно решать возникшие проблемы по угрозе и утечки конфиденциальных сведений, прогнозировать дальнейшую деятельность с этой категорией сведений.
Создание такого самостоятельного подразделения возможно и необходимо в любой организации независимо от её размеров. В небольших компаниях, которые не имеют возможности создавать такое подразделение, этот подход может быть реализован в форме введения должности помощника руководителя по вопросам конфиденциального делопроизводства.
При наличии территориально-разбросанных филиалов (отделений) и различного характера деятельности структурных подразделений целесообразно создавать территориальную распределенную службу конфиденциального делопроизводства с централизованным организационно-методическим управлением и координацией деятельности по единым принципам и правилам. Служба подчиняется непосредственно руководителю организации. Если позволяют возможности, необходимо, чтобы начальник службы конфиденциального делопроизводства состоял в ранге заместителя руководителя организации и административно управлял бы службой информационно-аналитических исследований и прогнозных оценок защиты конфиденциальных документов, а также оперативно-методически руководил подразделениями службы, создаваемыми для выполнения конкретных задач в соответствии с концепцией защиты коммерческой тайны в структурных подразделениях, координируя их деятельность.