Журнал о системах электронного документооборота (СЭД)
Задачи компаний и их решение

ECM-кейс: хождение секретных документов

  8 комментариев Добавить в закладки

На одном из оборонных заводов имеют хождение секретные документы. Настолько секретные, что делопроизводителям не доверяется даже смотреть в них. Тем не менее, эти документы должны регистрироваться, т.е. получать свой номер, штамповаться, попадать под каким-то наименованием в журнал. Нужно отслеживать их хождение в организации.

Пока речь шла о бумаге, справлялись. Но тут появилась система электронного документооборота, часть секретных документов (например, служебные записки, пояснения, еженедельные внутренние отчеты по секретным проектам) переводятся в электронный вид.

Как в СЭД организации обеспечить защиту документов от делопроизводителей при том, что обычные делопроизводственные процедуры проводить надо, а наименование документа — уже само по себе тайна? Принимаются все варианты.

Также очень интересно, каким образом обеспечивается работа с секретными бумажными документами. Ваш опыт, варианты?

Ещё материалы автора
Похожие записи
Комментарии (8)
Елена Дюпина 06 мая 2010 г. 11:07  

Обычно на подобных заводах есть специальные "хранители" секретных документов.

1. Подобные документы обычно доставляются спецпочтой.

2. Имеется специальное помещение для хранения данных документов (бумажных). Для них организован специальный архив, обычно в  отдельной защищенной комнате.

3. В бумажном виде доступ к таким документам осуществляется только под подпись в специальном журнале и только теми людьми, у которых есть соответствующие полномочия в компании, ну и форма допуска соответствующая.

Поэтому при работе с такими документами необходимо выделить отдельный журнал регистрации, отдельного делопроизводителя. Проблема глубже - зашифровать документы в системе, убедить директора по безопасности, что это все реально защищено... Это сложно :). Обычно такие документы оставляют в бумажном виде как раньше и было (обычно их немного).

Наталья Храмцовская 06 мая 2010 г. 12:31  


Я бы начала с нормативной базы: нужно убедиться, что секретные документы вообще могут использоваться в электронном виде, и что допускается работа с ними в электронной системе. Соответствующие положения должны быть внесены в нормативные документы, регламентирующие как делопроизводство в целом, так и секретное делопроизводство в частности.



Не секрет, что в большинстве инструкций по делопроизводству и по использованию СЭД прямо запрещена не то что работа с секретными документами, но, чаще всего, и с ДСП.



Если с этим всё в порядке, то дальше нужно определиться с требованиями по безопасности информационной системы, классом защиты, необходимостью получения лицензий и сертификатов ФСБ и ФСТЭК.



С точки зрения информационной безопасности, нежелательно в одной и той же системе работать с секретными и несекретными документами (кое-где это прямо запрещено нормативными документами). Такая система также не должна подключаться к сетям общего пользования (т.е. к Интернету).



Вот если все эти маленькие проблемки :) удастся решить, то затем всё относительно просто :)) Лиц, не имеющих допуска, к работе с такой системой, скорее всего, и близко не подпустят. А дальше следует использовать имеющийся в СЭД механизм управления доступом, чтобы каждый видел только то, что ему положено.



Рекомендую также посмотреть главу 4.1 спецификаций MoReq2, особенно п.4.1.23



Практический совет: иногда может оказаться скромным, но реализуемым вариантом установка изолированной системы на несколько рабочих мест в помещении спецчасти предприятия.


Ксения Тратканова 06 мая 2010 г. 14:51  

 Как вариант, можно хранить такие документы в зашифрованном виде. Например, зашифрованных с использованием средств криптографии. Т.е. в СЭД такой документ будет находиться, например в виде архива с зашифрованным файлом (текст документа представлен в виде шифра). Открыть архив - не проблема (тут опять же можно оперировать правами доступа СЭД), а вот просмотр защифрованного документа без соответсвующего ключа - это другая история. Если у пользователя нет соответствующего ключа, он увидит не документ а набор символов, без какой-либо логических связок, если вообще сможет открыть документ . А пользователь имеющий соответствующий ключ, открывая файл будет запускать процесс дешифровки, и соответственно увидит интересующий его документ. Ключи, как правило раздает автор документа. Нужно отметить, что такие способы хранения и передачи конфидециальных данных используются, например, при передече данных в пенсионный фонд от конкретной организации по, опять же, защищенным каналам связи.

Компьютер пользователя тоже можно защитить, например с помощью FireWall'a и других специализированных программ

Вадим Майшев 09 мая 2010 г. 18:50  

2 Ксения Тратканова - не смешите людей!

Защитить можно (почти) все! Вопрос - в уровне адекватности методов и средств.

Как защищать гостайну (в т.ч. в информационных системах - читай СЭД) описано в соответсвующих нормативных документах определенного уровня ограничения доступа.

Варианты здесь описывать нельзя. (.)

Максим Галимов 11 мая 2010 г. 09:41  
Знаете, я не большой специалист именно в делопроизводстве, но тем интереснее мне вникать в особенности работы с бумажными документами. Вот, например, слышал я про такой способ скрыть название и содержимое документа ДСП от делопроизводителя: для регистрации штампуется пустой лист. Это нормальная практика? Или всегда есть специальные делопроизводители, имеющие допуски?
Елена Дюпина 11 мая 2010 г. 10:02  

У нас были отдельные делопроизводители, отдельная комната, отдельные журналы и специально оборудованные и сертифицированные компьютеры (без пдключения к общей сети предприятия и Интернет). Секретные документы из этой комнаты не выносились и получить их для ознакомления можно было только под подпись с соответствии с формой допуска. Делопроизводители, кстати, не относились к канцелярии, а числились в режимном отделе и все их функции заключались в обработке и учете именно этих документов.

Валерий Климов 11 мая 2010 г. 10:47  

Коллеги, вы ставите телегу впереди лошади...

Наталья четко сформулировала вопросы, которые нужно решить прежде, чем "перебирать варианты".

Если на предприятии есть "секретка" договаривайтесь о встрече с 1-м отделом, в ведении которого и находятся подобные документы... чтобы понять что и как...Далее выясняете уровень безопасности, который необходимо обеспечить для работы с различными типами документов и в путь...

Реплика "часть секретных документов (например, служебные записки, пояснения, еженедельные внутренние отчеты по секретным проектам) переводятся в электронный вид" выглядит странной на фоне того, что нет ни слова хотя бы о сертификации системы безопасности на предприятии, не говоря уже о сертификации самого решения.

 Сразу скажу, что работа с документами, имеющими "гриф", требует серьезных организационно-технических мероприятий, чтобы обеспечить надлежащую защиту по работе с ними. При этом разговор пока не идет о прикладной системе, которая обеспечивает собственно вопросы автоматизации.

Елена Дюпина 11 мая 2010 г. 11:33  
Насчет организации электронного документооборота в "секретной части"- на 100% согласна с Натальей. 
Сейчас обсуждают
Больше комментариев