Документационное обеспечение управления

Скачать 2.25 Mb.

Название	Документационное обеспечение управления
страница	14/30
Тип	Руководство

rykovodstvo.ru > Руководство эксплуатация > Руководство

1 ... 10 11 12 13 14 15 16 17 ... 30

Подсистема маршрутизации и контроля исполнения документов

Контроль исполнительской дисциплины

Сроки поручений – возможность задания временного (в течение определенного времени), точного (требуемая дата) или бессрочного графика исполнения контрольных поручений по документу.

Автоматические уведомления – генерируются системой для периодических или разовых напоминаний исполнителям и контролерам о текущих или просроченных заданиях.

Задание маршрута – выбор очередности и относительного порядка прохождения документа по инстанциям.

Протокол обработки – функция, позволяющая выяснить, где и на каком участке находится (находился) документ и каким изменениям он был подвергнут.

При организации систем электронного документооборота функция контроля исполнения неизбежно привязывается к системе маршрутизации.

Маршрутизация документов.

Маршрутизация - пересылка документа по электронной почте нескольким адресатам с заданием следующих параметров:

типа маршрута (последовательного, параллельного, циркулярного),
лимита времени на обработку документа на каждом этапе маршрута,
требованием сбора виз и примечаний адресатов,
контроля прохождения документа по маршруту.

Маршрутизация состоит в следующем.

Инициатор формирует задание, которое включает описание подлежащей выполнению работы, инструкции по выполнению, список исполнителей, сроки исполнения, а также необходимые для выполнения работы документы (или даже целые папки). Затем задание автоматически передается указанным исполнителям в нужном порядке, а после выполнения работа со всеми собранными комментариями, визами и модифицированными документами возвращается к инициатору.

Задание может быть направлено исполнителям последовательно или параллельно. Соответственно, завершением работы считается выполнение своих этапов последним или всеми исполнителями.

Исполнители узнают о порученной им работе из специальных сообщений электронной почты, включающих все необходимое для ее выполнения, в том числе информацию об уже выполненных и предстоящих этапах работы. При задержке выполнения своих этапов исполнители получают напоминания.

Инициатор узнает об исполнении задания также из специального сообщения электронной почты, включающего все результаты работы. При необходимости инициатор может контролировать и ход выполнения работы.

При построении систем маршрутизации могут применяться два основных подхода.

Первый носит название документно-ориентированный. Документ является основным объектом системы, и маршрутизируется именно он, а все остальные параметры маршрутизации ассоциированы именно с документом.

Второй подход носит название работо-ориентированный и его основным объектом является работа. К работе может быть прикреплен самый разнообразный список объектов, в том числе, и документы. Естественно, работа может существовать и без документов. Второй подход является более общим (рисунок).

Рассмотрим теперь типы систем маршрутизации.

1. Свободная маршрутизация. Выделяется два основных типа маршрутов документов. Последовательная маршрутизация - документ последовательно проходит одного исполнителя за другим. Передача документа от одного пользователя к другому может происходить по истечении контрольного времени, либо после завершения работы одним из них. Параллельная маршрутизация - документ одновременно поступает всем исполнителям, а завершение маршрута происходит, когда один либо все пользователи завершат работу с документом.

Минимальной достаточной системой, обеспечивающей маршрутизацию документов, является система электронной почты, которая осуществляет параллельное распространение документов (маршрутизация отличается от распространения или рассылки тем, что маршрутизируемый документ возвращается в начало маршрута, например к инициатору, а рассылаемый документ уходит к исполнителю без контроля факта возврата). С помощью дополнительных приложений система электронной почты может обеспечивать последовательную маршрутизацию документов.

2. Жесткая маршрутизация - маршрутизация документов по заранее определенным маршрутам с контролем исполнения. Маршруты могут быть более сложными, чем простые последовательные или параллельные:

комбинированные из последовательных и параллельных элементов;
условные, с переходами в зависимости от состояния тех или иных переменных маршрутов.

Такие маршруты становятся сложными для их задания "на лету", поэтому в этом случае используется специализированный графический редактор, позволяющий создать маршрут. Инициатор вызывает созданный и именованный маршрут и прикрепляет к нему документы - инициирует его. Система маршрутизации должна быть интегрирована с системой информационной безопасности. Это означает, что если вы собираетесь послать кому-то документ, то адресат должен обладать соответствующим набором прав для работы с этим документом. Если прав недостаточно, то система должна попросить инициатора работы или маршрута установить соответствующие права.

Управление информационными потоками.

Под управлением информационными потоками обычно понимается автоматизированный процесс выполнения работ и движение связанных с ними документов.

Этот процесс основан на карте информационных потоков организации, составляемой при разработке системы и включающей описание всех типовых работ с указанием переходов между ними, условий этих переходов, временных и стоимостных характеристик работ, ролей исполнителей, и т.д. Составленная в графическом виде карта работ далее транслируется в математическую модель, которая хранится на сервере в виде базы данных.

Пользователь инициирует работы, а система автоматически отслеживает выполнение нужных этапов работ и даже сама выполняет некоторые этапы в соответствии с математической моделью.

Системы управления информационными потоками имеют мощные средства мониторинга состояния работ, уведомления участников работ, принятия решений (например, автоматическая переадресация работ резервным исполнителям), и т.п. Системы управления информационными потоками обычно строятся как часть комплексных систем электронного документооборота.

Организация защищенного документооборота в сети

Разграничение прав доступа – задание пользователю или группе пользователей прав на чтение/модификацию для каждого документа или для выбранной номенклатуры дел.

Шифрование – хранение и передача документов и информации о поручениях в зашифрованном виде.

Поддержка ЭЦП – согласование и визирование документов личной цифровой подписью руководителей.

Веб-доступ – организация защищенного доступа к текущей информации по движению документов и к самим документам через Интернет при помощи обычного браузера.

Защита конфиденциальной информации

В современной российской рыночной экономике обязательным условием успеха является обеспечение экономической безопасности. Одна из главных составных частей экономической безопасности – информационная безопасность, достигаемая за счет использования комплекса систем, методов и средств защиты информации от несанкционированного доступа. Информация, используемая в бизнесе и управлении предприятием, является интеллектуальной собственностью предпринимателей. Обычно выделяется два вида собственной информации:

техническая или технологическая: методы изготовления продукции, программное обеспечение, основные производственные показатели, химические формулы, рецепты и т.д.;

деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегии действий на рынке и т.д.

Собственная информация предпринимателя в целях ее защиты может быть отнесена к коммерческой тайне и является конфиденциальной при соблюдении следующих условий:

информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства и другие подобные факты;
информация не должна быть общедоступной и общеизвестной;
возникновение и получение информации должно быть законным и связано с расходованием материального, финансового и интеллектуального потенциала фирмы;
персонал должен знать о ценности такой информации и обучен правилам работы с ней;
предпринимателем должны быть выполнены действия по защите этой информации.

Ценность информации может быть стоимостной категорией и отражать конкретный размер прибыли при ее использовании или размер убытков при ее утере. Информация становится часто ценной ввиду ее правового значения для организации и развития бизнеса, например, учредительные документы, программы и планы, договоры с партнерами. Ценность может отражать ее перспективное научное, технологическое или техническое значение. Следовательно, собственная ценная информация не обязательно является конфиденциальной. Ценную конфиденциальную деловую информацию обычно содержат планы развития производства, бизнес-планы, списки держателей акций и др. Ценную конфиденциальную техническую информацию содержат сведения о производстве и продукции, научных разработках, системе безопасности фирмы и т.д.

Выявление и регламентация реального состава информации, представляющей ценность и подлежащей защите, является основополагающей частью системы защиты информации. Состав ценной информации определяется ее собственником и фиксируется в специальном перечне.

Перечень ценных сведений, составляющих тайну фирмы, регулярно обновляется, корректируется и представляет собой список сведений о конкретных работах, конкретных контрактах, конкретных исследованиях. В каждой позиции перечня указываются:

гриф конфиденциальности сведений;
фамилии и должности сотрудников, имеющих к ним доступ;
срок действия грифа или наименование события, снимающего это ограничение;
виды документов и баз данных, в которых эти сведения фиксируются и хранятся.

Важной задачей перечня является дробление коммерческой тайны на отдельные информационные элементы, известные разным лицам. На основе перечня сведений составляется и ведется перечень документов фирмы, подлежащих защите и имеющих соответствующий гриф ограничения доступа. Наличие такого грифа инициирует выделение документа из общего документопотока и обработку в специальном автономном режиме, а также распространяет на документ защитные и иные меры повышенного внимания и контроля. Гриф ограничения доступа к документу или гриф конфиденциальности представляет собой служебную отметку (реквизит), который проставляется на носителе информации или сопроводительном документе. Информация о предпринимательской деятельности имеет несколько уровней грифов конфиденциальности:

первый, низший и массовый уровень – грифы «Коммерческая тайна», «Конфиденциально», «Конфиденциальная информация»;
второй уровень – «Коммерческая тайна. Строго конфиденциально», «Строго конфиденциальная информация», «Конфиденциально – особый контроль»;
третий уровень – «Коммерческая тайна особой важности».

Под обозначением грифа всегда указывается номер экземпляра документа, срок действия грифа или иные условия его снятия.

На ценных, но не конфиденциальных документах может проставляться гриф, предполагающий особое внимание к сохранности такого документа («Собственная информация фирмы», «Копии не снимать», «Хранить в сейфе»).

Гриф конфиденциальности присваивается документу:

исполнителем на стадии подготовки проекта документа;
руководителем на стадии согласования или утверждения документа;
адресатом документа на стадии его первичной обработки.

Основанием для изменения или снятия грифа конфиденциальности являются:

соответствующая корректировка перечней конфиденциальных сведений фирмы;
истечение установленного срока действия грифа;
наступление события, при котором гриф должен быть изменен или снят (окончание действия контракта, требование заказчика продукции, патентование изобретения и т.д.).

Источники конфиденциальной информации и каналы ее разглашения.

К числу основных видов источников конфиденциальной информации относятся:

персонал фирмы и окружающие фирму люди;
документы;
публикации о фирме и ее разработках, рекламные издания, выставочные материалы;
физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и оборудования.

Документация как источник ценной предпринимательской информации включает:

конфиденциальную документацию, содержащую ноу-хау;
ценную правовую, учредительную, организационную и распорядительную документацию;
служебную, обычную деловую и научно-техническую информацию, содержащую общеизвестные сведения;
рабочие записи сотрудников, их личные рабочие планы, переписку по коммерческим и служебным вопросам;
личные архивы сотрудников.

В каждой из указанных групп документы могут быть представлены на различных видах носителей. Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:

деловые, управленческие, торговые, научные и другие коммуникативные регламентированные связи;
информационные сети;
естественные технические каналы.

Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санкционированном режиме или в силу объективных закономерностей. Например, обсуждение конфиденциального вопроса на закрытом совещании, запись на бумаге содержания изобретения, работа вычислительной техники. Увеличение числа каналов распространения информации порождает расширение состава источников ценной информации.

Источники и каналы распространения информации при определенных условиях могут стать объектом внимания конкурента, что создает потенциальную угрозу сохранности и целостности информации. Угроза безопасности информации предполагает несанкционированный доступ к конфиденциальной информации и как результат этого – кражу, уничтожение, фальсификацию, модификацию, подмену документов. При отсутствии интереса конкурента угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней посторонних лиц. Ценная информация, к которой не проявляется интерес конкурента, может не включаться в состав защищаемой, а содержащие ее документы контролируются только с целью обеспечения сохранности носителя.

Конкурент создает угрозу информации путем установления контакта с источником информации или преобразования канала распространения информации в канал ее утечки. Угроза может быть потенциальной и реальной. Реальные угрозы, в свою очередь, делятся на пассивные и активные. По месту возникновения и отношению к фирме угрозы подразделяются на внутренние и внешние, по времени – постоянные, периодические и эпизодические. Угрозы реализуются с помощью приемов и методов промышленного или экономического шпионажа.

Угроза сохранности информации особенно велика при их выходе за пределы службы конфиденциальной документации, например, при передаче документов персоналу на рассмотрение и исполнение, при пересылке адресатам. Однако, как показывает практика, большая часть случаев потери ценной информации происходит не в результате предумышленных действий конкурентов, а из-за невнимательности, непрофессионализма и безответственности персонала.

Утечка информации предполагает несанкционированный переход ценных, конфиденциальных сведений к лицу, не имеющему права владения ими и использования их в своих целях для получения прибыли. Непреднамеренный переход информации к третьим лицам (т.е. лицам, не заинтересованным в этой информации), может произойти в результате:

утери или случайного уничтожения документа;
невыполнения, незнания или игнорирования сотрудником требований по защите информации;
работы с конфиденциальными документами при посторонних;
несанкционированной передаче конфиденциального документа другому сотруднику;
использования конфиденциальных сведений в открытой печати, личных записях;
самовольного копирования сотрудником документов в служебных целях.

Обнаружение канала утечки информации – сложная, длительная и трудоемкая задача. В основе ее решения лежит классификация и постоянное изучение источников и каналов распространения информации, выявление угроз информации и возможных каналов ее утечки, поиск, обнаружение и оценка степени опасности реальных каналов утечки, анализ эффективности защитных мер, предпринятых для защиты информации.

Следовательно, контроль источников и каналов распространения конфиденциальной информации позволяет определить наличие и характеристику угроз информации, выработать структуру системы защиты информации.

Система защиты ценной информации.

Система защиты информации (СЗИ) представляет собой комплекс организационных, технических и технологических средств, методов и мер, препятствующих несанкционированному доступу к информации. Комплексность системы защиты достигается ее формированием из различных элементов – правовых, организационных, технических и программно-математических. Соотношение элементов и их содержание обеспечивают индивидуальность системы защиты информации и трудность ее преодоления.

Элемент правовой защиты информации предполагает:

наличие в учредительных и организационных документах (контрактах, должностных инструкциях, положениях) обязательств по защите сведений, составляющих тайну фирмы;
формулирование механизма правовой ответственности за разглашение конфиденциальных сведений;
страхование ценной информации от различных рисков.

Элемент организационной защиты информации содержит меры управленческого и ограничительного характера и включает в себя следующие меры:

регламентацию технологии защиты и обработки конфиденциальных документов;
построение технологии документирования ценной информации – составления, оформления, изготовления и издания;
организацию архивного хранения конфиденциальных документов;
порядок и правила работы персонала с конфиденциальной информацией, контроль за исполнением этих правил и т.д.

Центральной проблемой при разработке методов организационной защиты информации является формирование разграничительной системы доступа персонала к конфиденциальным сведениям, документам и базам данных. Важно четко и однозначно установить: кто, кого, к каким сведениям, когда, на какой период и как допускает. Разрешение на доступ к этим сведениям всегда является строго персонифицированным и дается руководителем в письменном виде: приказом, утверждающим схему должностного или именного доступа к информации, резолюцией на документе, списком-разрешением в карточке выдачи дела, списком ознакомления с документом. Организационные меры защиты отражаются в нормативно-методических документах службы безопасности фирмы.

Элемент технической защиты включает:

средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров и других приборов и оборудования;
средства защиты помещений от визуальных и акустических способов технической разведки;
средства охраны помещений от проникновения посторонних лиц;
средства противопожарной охраны;
средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, звукозаписывающей и телевизионной аппаратуры).

Элемент программно-математической защиты включает:

регламентацию доступа к электронным документам персональными паролями, идентифицирующими командами и другими простейшими методами защиты;
наличие специальных средств и продуктов программной защиты;
регламентацию криптографических методов защиты информации в ЭВМ и вычислительных сетях, шифрования текста документов при передаче их по каналам связи.

Таким образом, система защиты информации должна быть многоуровневой с иерархическим доступом к информации, привязанной к специфике деятельности фирмы, открытой для регулярного обновления, надежной в обычных и экстремальных ситуациях. Она не должна создавать сотрудникам серьезные неудобства в работе.

Разграничение прав доступа пользователей

Системы электронного документооборота имеют простые и надежные средства разграничения прав доступа пользователей на уровне библиотек, электронных папок и отдельных документов. Права доступа являются частью атрибутов документа (а не пользователя), поэтому доступ к документу контролируется независимо от местонахождения пользователя и документа в сети.

В частности, при передаче по электронной почте внутри организации вместо неконтролируемой копии документа посылается ссылка на централизованно хранимый документ. Доступ к такому документу осуществляется через библиотечный сервис, что гарантирует невозможность открытия документа получателем, если он не имеет соответствующих прав доступа.

Для упрощения назначения прав доступа поддерживается возможность назначения прав не отдельным пользователям, а их группам. Имеется также развитый механизм установки прав доступа по умолчанию, что избавляет пользователей от непроизводительных затрат времени на назначение наиболее часто используемых прав.