Схеми класифікації рівнів доступу та безпеки
4.2.5.1 Загальні засади
Формальний засіб, який визначає права доступу та режим його обмежень щодо службових документів, є необхідним знаряддям керування документаційними процесами в організаціях усіх розмірів та з різними правовими засадами. Чим складніша структура організації та її діяльність, тим необхідніше унормувати процедури запроваджування категорій безпеки службових документів і доступу до них.
4.2.5.2 Розробляння класифікації рівнів безпеки та доступу
Розробляння відповідних категорій прав доступу та обмежень базується на аналізуванні регуляторних засад функціювання організації, аналізуванні напрямків діяльності та оцінюванні ризиків. Прийнятний режим безпеки та доступу залежить як від характеру та розміру організації, так і від змісту та цінності інформації, що потребує забезпечення захисту. Прийнятний режим безпеки можна описати як рівень безпеки, який з точки зору здорового глузду необхідний для захисту інформації від будь-якого несанкціонованого доступу, збирання, використання, розкриття, вилучання, змінення і (або) знищування. Таким чином, для однієї організації прийнятним може бути зачинене сховище документів, а для іншої— це може бути зачинене приміщення архіву, що охороняється, обладнане відеокамерами і таке, що має обмежений доступ.
Доступ до службових документів обмежують, щоб захистити:
а) інформацію особистого характеру та недоторканність приватного життя,
b) право на інтелектуальну власність та комерційну таємницю,
с) безпеку власності (фізичної, фінансової),
d) державну безпеку, та
e) юридичні та інші фахові привілеї.
Так само важливими є захищені законом права доступу, долучені до корпоративного керування, права свободи інформації, захисту недоторканності приватного життя та архівне й процесуальне законодавство. Для ефективного розробляння схем класифікації рівнів безпеки та доступу треба враховувати ці права.
Для розробляння схеми класифікації рівнів доступу можна проаналізувати регуляторні засади функціювання організації, проаналізувати напрямки діяльності та оцінити ризики для того, щоб
а) визначити забезпечені законом права доступу та обмеження доступу до службових документів та інформації організації,
b) визначити зони ризику порушення недоторканності приватного життя та особистої, фахової чи комерційної конфіденційності,
с) визначити проблеми безпеки організації,
d) класифікувати зони ризику порушення безпеки залежно від оцінки збитків та ймовірності такого порушення,
e) встановити відповідність між виявленими зонами і проблемами безпеки та напрямками діяльності організації,
f) визначити прийнятні рівні обмеження для зон від найбільшого до найменшого ризиків,
g) встановити рівні обмеження доступу до відповідних класів службових документів, що фіксують діяльність організації, згідно з класифікацією ризиків, та
h) пов'язати обмеження з такими засобами, як система класифікації напрямків діяльності або тезауруси, що застосовують для описування службових документів. У такому сенсі застереження або обмеження можна застосовувати автоматично під час долучання службових документів до системи або під час реєстрування.
Спосіб вираження рівнів обмеження доступу має відображати традиції організації. Під час розробляння категорій обмежень доступу необхідно проконсультуватися з фахівцями споріднених сфер діяльності.
Класифікації доступу застосовують також і до людей, як тих, хто відповідає за керування документаційними процесами з обмеженим доступом, так і тих, хто має право доступу. Наступний крок — це точно визначити обов'язки. Можна визначити та долучити до документаційних систем тих осіб, що мають доступ до певних груп службових документів з обмеженим режимом доступу. До службових документів, які належать до категорії з обмеженим доступом, можуть мати доступ лише особи з певними повноваженнями. Цей процес може супроводжуватися перевірками та контрольним переглядом, що не належать до функцій керування документаційними процесами. Цей аспект класифікації доступу для користувачів пов'язаний із керуванням дозволами для користувачів документаційної системи.
Документаційна система повинна керувати специфічними для неї дозволами на користування. Може бути підготовлено реєстр працівників організації з дозволами на користування всіма системами. Там, де немає процедури загального реєстрування дозволів на користування, треба виробити власну процедуру реєстрування для цієї системи. Реєстр дозволів на користування відрізняє дозволи, які надають працівникам повноваження, право доступу, право змінювати або вилучати службові документи, що зберігаються в документаційній системі, від дозволів, що надають працівникам лише право читати службовий документ. Користувач може бути працівником, який одночасно має в одній функціональній сфері повноваження та обов'язки створювати службові документи, вносити до них зміни і вилучати їх, а в інших — доступ до службових документів без права вносити зміни. У той самий час надання доступу до службових документів певних напрямків діяльності користувачам поза певною функціональною групою може бути неприйнятним, тому відповідно обмежують дозволи для працівників, що не входять до цієї групи.
У всіх системах, незалежно від виду, треба постійно відстежувати та відображати у вигляді схеми системи дозволів користувачам та функційних робочих обов'язків. Багато електронних документаційних систем, зокрема ті, що мають доступ через територіально віддалені системи, можуть застосовувати протоколи визначання інших прикладних систем. Якщо організація має можливість надання доступу через мережу на значних відстанях, встановляння дозволів користувачам та їх відстежування часто покладають на персонал інформаційних систем або тих, хто забезпечує обіг даних.
4.3 Документаційні процеси
4.3.1 Вступ
Процеси, викладені нижче, описують, вважаючи, що вони відбуваються послідовно, але необхідно розуміти, що в багатьох документаційних системах, особливо електронних, вони можуть відбуватися або одночасно, або в іншій послідовності. Всі ці процеси продукують метадані (ґрунтовну описову інформацію), пов'язані зі службовими документами. Обсяг метаданих про службові документи та керування документаційними процесами залежать від того, як розроблена документаційна система, характер якої, у свою чергу, визначається напрямками діяльності та вимогами до звітності організації.
Документаційні процеси — це:
а) долучання службових документів,
b) реєстрування,
с) класифікування,
d) класифікування рівнів доступу та безпеки,
e) визначання статусу передавання службових документів до архіву або вилучання їх для знищування,
f) зберігання,
g) користування і контроль, та
h) передавання службових документів до архіву або вилучання їх для знищування.