Выпуск 24. Международные стандарты, информационная
безопасность и управление документацией.

Сегодня предлагаю Вам статью, посвященную требованиям международных стандартов по обеспечению информационной безопасности и управлению документацией.

М.К.

Стандарт ISO/IEC 17799:2000 "Информационные технологии. Практическое руководство по управлению информационной безопасностью".

В данном стандарте перечисляются три основных принципа, "реализация которых закладывает хороший фундамент для обеспечения информационной безопасности".

Все они имеют непосредственное отношение к деятельности службы ДОУ организации:
- защита данных и обеспечение конфиденциальности персональной информации;
- защита документов организации;
- защита прав интеллектуальной собственности.

В стандарте в разделе 12 - "Соответствие законодательным и нормативным требованиям" эти вопросы рассмотрены подробно, и указаны меры, которые организация должна предпринять для защиты своих документов:
- должны быть выпущены руководства по организации делопроизводства и документооборота, по организации хранения, по установлению сроков хранения и по определению дальнейшей судьбы документов и информации по истечении сроков хранения;
- должна быть разработана номенклатура дел, в которую вносятся основные виды документов и установленные для них сроки хранения;
- должен вестись реестр источников ключевой информации;
- необходимо принять меры для защиты важнейших документов и информации от утраты, уничтожения и фальсификации.

Если для большинства представителей служб информационных технологий (ИТ) подобные требования - что-то новенькое, незнакомое и чуждое, то для специалистов ДОУ, напротив, это ежедневная, привычная и любимая работа. Все действия и службы ИТ, и службы ДОУ направлены на защиту доверенного им информационного ресурса, с той лишь разницей, что у службы ДОУ имеются опыт и знания, необходимые для должного исполнения требований законодательства и нормативных актов, для защиты организации на случай судебных исков и для сохранения корпоративной памяти.

Согласно стандарту ISO 17799, практически вся деятельность службы ДОУ направлена на обеспечение информационной безопасности организации, и, следовательно, ДОУ вправе рассчитывать на соответствующую долю ресурсов, выделяемых на программу информационной безопасности. Опираясь на авторитет стандарта, нужно добиться, чтобы это поняло и высшее руководство, и руководство службы ИТ.

Очень важно, что роль и значение службы ДОУ, и необходимость участия специалистов ДОУ в работе на "чужой территории" (например, в налаживании учёта и долгосрочного хранения электронных документов) можно доказывать с помощью стандарта, разработанного специалистами ИТ для себя, написанного на своём "родном" языке и отражающего сложившуюся практику деятельности служб ИТ.

Главной задачей любой системы информационной безопасности является защита документов и информационных материалов организации. В нашей стране электронные документы, за редким исключением, не имеют пока ещё юридической силы, и для фиксирования основных юридических и имущественных прав и обязанностей граждан и организаций используются преимущественно бумажные документы. В этой связи требования законодательства по защите данных, информации и документов относятся, в первую очередь, к документам на бумажных носителях. По этим причинам при решении вопросов обеспечения информационной безопасности можно и нужно вместе со специализированными стандартами по безопасности также использовать и первый в мире стандарт по управлению документами ISO 15489, который определяет требования, как к самим документам, так и к системам документооборота, в которых эти документы создаются.

Стандарт ISO 15489-1 "Информация и документация - Управление документами. Часть 1: Общие принципы".

Стандарт ISO 15489-1 посвящен вопросам управления документами и информацией, независимо от используемых видов носителей. Ряд положений стандарта непосредственно связан с защитой информации и её носителей, а также с защитой интересов организации в связи с сохранением и своевременным уничтожением информации в соответствии с законодательно-нормативными требованиями и интересами самой организации, её сотрудников и клиентов. Эти положения можно использовать при разработке регламента корпоративной системы информационной безопасности, и при ведении "дипломатических переговоров" с высшим руководством и с представителями других служб и подразделений.

Стандарт устанавливает следующие требования к системам документооборота (п.8.2.2).

Система документооборота должна:
- "захватывать" все документы, относящиеся к той области деловой деятельности, которую система обслуживает;
- систематизировать документы так, чтобы применяемый метод отражал деловые процессы организации;
- защищать документы от несанкционированного изменения, уничтожения или передачи;
- служить главным источником информации о документируемых действиях,
обеспечивать быстрый и удобный доступ к документам и их метаданным.

Кроме того, стандарт содержит требования к системе управления доступом к документам и устанавливает, что "надлежащее управление доступом обеспечивается через установление статуса доступа, как документам, так и пользователям".

Управление процессом доступа должно обеспечить следующее:
- документы распределяются по категориям, в зависимости от их статуса доступа в определённый момент времени;
- документы выдаются только тем, кому дано право их видеть;
- зашифрованные документы могут быть при надобности прочтены, если доступ к ним санкционирован;
- действия и операции с документами выполняются только лицами, которым на это предоставлено право;
- подразделения организации, отвечающие за определённые деловые функции, определяют права доступа к документам, относящимся к их сфере ответственности.

Как правило, управление доступом к бумажным документам осуществляет служба ДОУ. Во внутренних нормативных документах организации определяется порядок работы с документами и информацией на бумажных носителях, а служба ДОУ и служба безопасности обеспечивают контроль исполнения этих правил. Те же самые функции в отношении электронных документов выполняют специалисты ИТ. Такая децентрализация приводит иногда к неприятным последствиям, поскольку несогласованность в определении прав доступа к одному и тому же документу на различных носителях может существенно снизить надёжность защиты информации.

В комплексной программе управления документами содержится требование об обеспечении условий содержания документов, гарантирующих их защищённость и безопасность (п. 7.1).

Вопросы обеспечения целостности, т.е. полноты и неизменности документов, приобретают особое значение, когда речь заходит об электронных документах, поскольку в этом случае требуются значительно бoльшие усилия, чем при работе с традиционными документами на бумажных носителях. Это связано с тем, что при малейших сомнениях в подлинности и аутентичности документа придётся доказывать не только целостность отдельного электронного документа, но и то, что система электронного документооборота в состоянии обеспечить надлежащее хранение документов при любых условиях, и даже в случае непредвиденных ситуаций.

Целостность

Для предотвращения несанкционированного доступа, уничтожения, изменения или изъятия документов следует использовать такие меры, как контроль и протоколирование доступа, верификация пользователей, санкционированное уничтожение, и меры обеспечения безопасности. Эти меры могут реализовываться как внутри системы документооборота, так и при помощи средств, внешних по отношению к данной системе. При работе с электронными документами, от организации могут потребоваться доказательства того, что сбои в работе системы, обновления оборудования и программного обеспечения и регулярные работы по поддержанию работоспособности системы не влияют на целостность документов.

Стандарт содержит определенные требования к носителям информации и к организации их защиты:
- при разработке систем документооборота следует обратить внимание на выбор подходящих носителей информации и на условия, необходимые для их хранения; на возможность применения материалов, защищающих от физического воздействия; на методы обращения с носителями, и на оборудование для хранения. Выбор носителей информации зависит от того, как долго предполагается хранить документы;
- при разработке и использовании системы документооборота следует учесть возможность возникновения непредвиденных обстоятельств и катастроф, выявить и минимизировать имеющиеся риски. В случае чрезвычайных ситуаций, целостность системы должна поддерживаться и быть доказуемой, как во время восстановительных работ, так и по их окончании.

Бумага уже давно зарекомендовала себя как достаточно надёжный носитель информации. Современные носители электронной информации, напротив, требуют повышенного внимания. Они более чувствительны к окружающей среде и, пока что, менее долговечны. Довольно трудно и дорого обеспечить долговременное хранение электронной информации, и не менее трудно и дорого надёжно её уничтожить. Несмотря на отличия в технических деталях, основные принципы организации хранения и уничтожения документов остаются неизменными, и при организации хранения электронных документов может очень пригодиться опыт, накопленный службой ДОУ. Конечно, специалистам архивного дела и ДОУ придётся для этого как следует освоить информационные технологии, но зато у них не будет возникать типичный для сотрудников ИТ вопрос: "А зачем вообще это нужно, так долго хранить электронные документы?"

В стандарте ISO 15489 большое внимание уделено классификации (п.9.5), так как она способствует более чёткой работе с документами.

С ее помощью рекомендуется, в том числе:
- определять подходящие уровни защиты и доступа для массивов документов;
- выдавать пользователям разрешения на доступ или на выполнение действий с определенными группами документов;
- распределять ответственность за управление определенными массивами документов.

В отношении хранения документов подчеркивается (п. 9.6), что "следует использовать такие условия хранения и способы обращения, которые бы защищали документы от несанкционированного доступа, потери, уничтожения, кражи, и от катастроф".

Очень большое значение имеет процесс уничтожения документов с истекшими сроками хранения (п. 9.9.). Возможность вполне законно уничтожить документы по истечении срока хранения - чрезвычайно важный элемент всей работы по обеспечению информационной безопасности. Это не только возможность уменьшить риск утечки конфиденциальной информации; фактически, это амнистия старых "грешков" организации, при условии, что у неё хорошо налажены делопроизводство и документооборот.

В бумажном делопроизводстве уничтожение документов и предшествующий этап экспертизы их ценности считаются наиболее сложными видами работ, требующими как высокой профессиональной квалификации, так и умения взаимодействовать практически со всем коллективом организации. При уничтожении электронных документов нужно решать все те же проблемы, что и с бумажными документами, - плюс ещё несколько. Например, порой очень трудно разыскать и уничтожить все имеющиеся копии электронного документа (включая те, что хранятся на резервных лентах); к тому же, как выяснилось на практике, гарантированное уничтожение электронных документов требует физического уничтожения носителей этих документов.

Стандарт рекомендует вести эту работы в соответствии со следующими принципами:
- уничтожение всегда должно быть санкционированным, это значит, что в организациях должны быть разработаны правила проведения такой работы, которые необходимо зафиксировать во внутренних нормативных документах организации и ввести в действие приказом по организации. Все сотрудники должны быть ознакомлены с правилами уничтожения документов. Поскольку документы являются собственностью организации, то для уничтожения документов необходимо разрешение руководства организации;
- запрещается уничтожать документы, имеющие отношение к идущему или предвидимому разбирательству по судебным искам или расследованию. В нашем Перечне типовых и управленческих документов также имеется аналогичное требование, оговоренное в примечаниях для нескольких видов документов: "В случае возникновения споров, разногласий, следственных и судебных дел - сохраняются до вынесения окончательного решения" (см. например, п. 145, 148, 150, 155, 186, 192, 193 и т.д.);

В ряде стран мира нарушение этого правила является уголовным преступлением.
Пример. В США одна из пяти крупнейших и авторитетнейших в мире аудиторских фирм "Артур Андерсен" прекратила свое существование по инициативе государства из-за того, что посмела уничтожить документы по аудиторским проверкам своего клиента, зная о государственном расследовании нарушений в этой фирме. Ряд руководители компании были привлечены к уголовной ответственности и были приговорены к различным срокам заключения и штрафам.

- уничтожение документов должно проводиться с сохранением конфиденциальности содержащейся в них информации. В настоящее время вопросам защиты конфиденциальной информации, особенно персональных данных, уделяется большое внимание;

В Европе и в ряде других стран приняты жёсткие законы, регулирующие процессы сбора, доступа и использования подобной информации. Ограничивается объём собираемой информации, возможность передачи или продажи её третьей стороне и использование её для маркетинга. От организаций требуется предоставлять клиентам возможность просматривать и корректировать собранную о них информацию. Ограничивается срок хранения персональной информации.
Требования европейского законодательства об обеспечении безопасности персональных данных настолько жесткие, что это создает трудности при ведении бизнеса. Оно запрещает передавать любые персональные данные в те страны, где отсутствуют такого рода законы и защита - в том числе в США.

- должны быть уничтожены все копии документов, отобранных на уничтожение, включая страховые копии, резервные копии и копии для длительного хранения.

Выполнить данное требование в отношении электронных документов может быть непросто, особенно, если в организации не налажен их учет. Здесь вряд ли возможно будет обойтись без помощи службы ДОУ, для которой учёт документов - одна из основных функций. Помочь в исполнение этого и многих других требований могут современные системы электронного документооборота, для внедрения которых также необходима совместная согласованная работа служб ДОУ и ИТ.

Требования, сформулированные в авторитетных международных стандартах по информационной безопасности - ISO 17799 и по управлению документами - ISO 15489, могут служить весомыми аргументами в тех случаях, когда нужно объяснить высшему руководству, инвесторам (особенно иностранным) и специалистам ИТ необходимость соблюдения основных принципов управления документами, и настоять на распространении этих принципов на электронные документы организации.

Литература

International Standard ISO/IEC 17799:2000 "Information Technology - Code of Practice for Information Security Management", International Organization for Standardization (ISO), 2000.

British standard BS 7799-2:2002 "Information security management systems - Specification with guidance for use", British Standards Institute (BSI), 2002.

International Standard ISO 15489-1 "Information and Documentation - Records Management. Part 1: General", International Organization for Standardization (ISO), Switzerland, 2001.

"Information and documentation - Records management. Part 2: Guidelines", Technical Report ISO/TR 15489-2, International Organization for Standardization (ISO), Switzerland, 2001.