Наверх

ECM-Journal обновился!

Если вы ещё не зарегистрированы на сайте, сделайте это прямо сейчас. Если у вас уже есть профиль, то просто обновите пароль.

ECM-кейс: хождение секретных документов

Архив
Время чтения: 1 минута
8
ECM-кейс: хождение секретных документов

На одном из оборонных заводов имеют хождение секретные документы. Тем не менее, эти документы должны регистрироваться...

На одном из оборонных заводов имеют хождение секретные документы. Настолько секретные, что делопроизводителям не доверяется даже смотреть в них. Тем не менее, эти документы должны регистрироваться, т.е. получать свой номер, штамповаться, попадать под каким-то наименованием в журнал. Нужно отслеживать их хождение в организации.

Пока речь шла о бумаге, справлялись. Но тут появилась система электронного документооборота, часть секретных документов (например, служебные записки, пояснения, еженедельные внутренние отчеты по секретным проектам) переводятся в электронный вид.

Как в СЭД организации обеспечить защиту документов от делопроизводителей при том, что обычные делопроизводственные процедуры проводить надо, а наименование документа — уже само по себе тайна? Принимаются все варианты.

Также очень интересно, каким образом обеспечивается работа с секретными бумажными документами. Ваш опыт, варианты?

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 8

Обычно на подобных заводах есть специальные "хранители" секретных документов.

1. Подобные документы обычно доставляются спецпочтой.

2. Имеется специальное помещение для хранения данных документов (бумажных). Для них организован специальный архив, обычно в  отдельной защищенной комнате.

3. В бумажном виде доступ к таким документам осуществляется только под подпись в специальном журнале и только теми людьми, у которых есть соответствующие полномочия в компании, ну и форма допуска соответствующая.

Поэтому при работе с такими документами необходимо выделить отдельный журнал регистрации, отдельного делопроизводителя. Проблема глубже - зашифровать документы в системе, убедить директора по безопасности, что это все реально защищено... Это сложно :). Обычно такие документы оставляют в бумажном виде как раньше и было (обычно их немного).


Я бы начала с нормативной базы: нужно убедиться, что секретные документы вообще могут использоваться в электронном виде, и что допускается работа с ними в электронной системе. Соответствующие положения должны быть внесены в нормативные документы, регламентирующие как делопроизводство в целом, так и секретное делопроизводство в частности.



Не секрет, что в большинстве инструкций по делопроизводству и по использованию СЭД прямо запрещена не то что работа с секретными документами, но, чаще всего, и с ДСП.



Если с этим всё в порядке, то дальше нужно определиться с требованиями по безопасности информационной системы, классом защиты, необходимостью получения лицензий и сертификатов ФСБ и ФСТЭК.



С точки зрения информационной безопасности, нежелательно в одной и той же системе работать с секретными и несекретными документами (кое-где это прямо запрещено нормативными документами). Такая система также не должна подключаться к сетям общего пользования (т.е. к Интернету).



Вот если все эти маленькие проблемки :) удастся решить, то затем всё относительно просто :)) Лиц, не имеющих допуска, к работе с такой системой, скорее всего, и близко не подпустят. А дальше следует использовать имеющийся в СЭД механизм управления доступом, чтобы каждый видел только то, что ему положено.



Рекомендую также посмотреть главу 4.1 спецификаций MoReq2, особенно п.4.1.23



Практический совет: иногда может оказаться скромным, но реализуемым вариантом установка изолированной системы на несколько рабочих мест в помещении спецчасти предприятия.


 Как вариант, можно хранить такие документы в зашифрованном виде. Например, зашифрованных с использованием средств криптографии. Т.е. в СЭД такой документ будет находиться, например в виде архива с зашифрованным файлом (текст документа представлен в виде шифра). Открыть архив - не проблема (тут опять же можно оперировать правами доступа СЭД), а вот просмотр защифрованного документа без соответсвующего ключа - это другая история. Если у пользователя нет соответствующего ключа, он увидит не документ а набор символов, без какой-либо логических связок, если вообще сможет открыть документ . А пользователь имеющий соответствующий ключ, открывая файл будет запускать процесс дешифровки, и соответственно увидит интересующий его документ. Ключи, как правило раздает автор документа. Нужно отметить, что такие способы хранения и передачи конфидециальных данных используются, например, при передече данных в пенсионный фонд от конкретной организации по, опять же, защищенным каналам связи.

Компьютер пользователя тоже можно защитить, например с помощью FireWall'a и других специализированных программ

2 Ксения Тратканова - не смешите людей!

Защитить можно (почти) все! Вопрос - в уровне адекватности методов и средств.

Как защищать гостайну (в т.ч. в информационных системах - читай СЭД) описано в соответсвующих нормативных документах определенного уровня ограничения доступа.

Варианты здесь описывать нельзя. (.)

Знаете, я не большой специалист именно в делопроизводстве, но тем интереснее мне вникать в особенности работы с бумажными документами. Вот, например, слышал я про такой способ скрыть название и содержимое документа ДСП от делопроизводителя: для регистрации штампуется пустой лист. Это нормальная практика? Или всегда есть специальные делопроизводители, имеющие допуски?

У нас были отдельные делопроизводители, отдельная комната, отдельные журналы и специально оборудованные и сертифицированные компьютеры (без пдключения к общей сети предприятия и Интернет). Секретные документы из этой комнаты не выносились и получить их для ознакомления можно было только под подпись с соответствии с формой допуска. Делопроизводители, кстати, не относились к канцелярии, а числились в режимном отделе и все их функции заключались в обработке и учете именно этих документов.

Коллеги, вы ставите телегу впереди лошади...

Наталья четко сформулировала вопросы, которые нужно решить прежде, чем "перебирать варианты".

Если на предприятии есть "секретка" договаривайтесь о встрече с 1-м отделом, в ведении которого и находятся подобные документы... чтобы понять что и как...Далее выясняете уровень безопасности, который необходимо обеспечить для работы с различными типами документов и в путь...

Реплика "часть секретных документов (например, служебные записки, пояснения, еженедельные внутренние отчеты по секретным проектам) переводятся в электронный вид" выглядит странной на фоне того, что нет ни слова хотя бы о сертификации системы безопасности на предприятии, не говоря уже о сертификации самого решения.

 Сразу скажу, что работа с документами, имеющими "гриф", требует серьезных организационно-технических мероприятий, чтобы обеспечить надлежащую защиту по работе с ними. При этом разговор пока не идет о прикладной системе, которая обеспечивает собственно вопросы автоматизации.

Насчет организации электронного документооборота в "секретной части"- на 100% согласна с Натальей. 
Чтобы прокомментировать, или зарегистрируйтесь