международные стандарты, регулирующие управление документацией в организациях

введение

В современном высококонкурентном обществе разработка и внедрение технических нормативных правовых актов (ТНПА) в любой сфере деятельности является наиболее эффективным механизмом обеспечения согласованности действий и повсеместного распространения наилучших технологий и методов работы. ТНПА необходимы организациям различных форм собственности при оценке качества произведенной продукции (работ, услуг) и ее соответствия международным нормам.

Усиление значения экономических факторов и, как следствие этого, юридической силы документов повышает актуальность исследований в сфере управления документами, как пишет Ларин М.В. в книге «Управление документацией в организациях» (2002 г.), «направленные на отход от примата делопроизводства, от классического деления документации «по системам» и на переход к созданию высокоэффективных систем управления всем комплексом информационно-документационных ресурсов при достижении стратегических и оперативных целей управления в любых организациях, в особенности в государственном аппарате управления».

Регламентация и управление выступают основными организационными формами регулирования создания и функционирования систем документации. Системы управления документацией повышают эффективность управленческой деятельности при использовании технологий классической исполнительской дисциплины и современного регулярного менеджмента и проектного управления. Стандартизация в различных организациях регламентов и процедур управления всеми документами призвана обеспечить эффективный доступ к содержащейся в документах информации и защиту документов. Международные ТНПА содержат весь мировой опыт разработки, внедрения и эксплуатации систем управления документами, в том числе электронными документами (ЭД).

В последние годы ужесточение требований к корпоративному делопроизводству и документообороту со стороны контролирующих организаций, а также то, что электронные документы стали не только привычными, но и предпочтительными в ходе судебных разбирательств привело росту объема продаж систем управления документацией и информационными ресурсами в странах-лидерах в области ИТ.

базовые международные ТНПА по управлению документацией в организациях

современные технические нормативные правовые акты

Разрабатывают и принимают ТНПА по управлению документацией Международная организация по стандартизации (ISO), соответствующие структуры Евросоюза, национальные комитеты по стандартизации и сертификации, другие государственные организации, а также объединения специалистов в этой области.

Международные и зарубежные национальные ТНПА по управлению документацией существенно отличаются от отечественных стандартов и инструкций по организации делопроизводства.

Современные ТНПА - это не предельно четкие и ясные инструкции, а описание обобщенных идей, требований и методик без определенных способов их практической реализации, которая возлагается на пользователя. Обычно для организаций они носят рекомендательный характер, но если стандарты в определенной отрасли зарекомендовали себя к общему принятию, то они становятся обязательными. Например, стандарты ISO по управлению качеством продукции и услуг (серия 9000), или стандарт минобороны США DoD 5015.2, содержащий требования к системам управления ЭД и имеющий программу сертификации.

Традиционное отечественное делопроизводство обрабатывало реквизиты и форму документов, но сейчас для обеспечения руководства организаций релевантной информацией для принятия правильных управленческих решений выдвинуты требования к осмысливанию контекстов документов и определению взаимосвязей по их контекстам.
Все это практически невозможно без принятия соответствующей правовой базы.
Если раньше системы документооборота «реализовывали функции просто регистрации информации и формального контроля продвижения документов, так сказать бюрократическим лабиринтом, то есть по исполнителям, по всей цепочке исполнения этого вопроса», то сейчас такие требования к автоматизированным системам ДОУ - это «содержательные этапы планирования, мотивации персонала к деятельности, учета экспертной информации, экспертных оценок и прогноза, и все больше учитывается человеческий экспертный фактор при принятии решений».

стандарты ISO серии 9000

Стандарты ISO по управлению качеством продукции и услуг серии 9000 изменили организацию функционирования современных организаций, в том числе и в нашей стране. После внедрения систем управления качеством и процедурами сертификации, такие организации поднимаются на существенно более высокую ступень бизнес-надежности. В основу требований серии 9000 заложено тщательное документирование всех производственных и бизнес-процессов, контроль за документами на всех стадиях их «жизненного цикла».

стандарт ISO 15489

Стандарт ISO 15489 «Information and documentation - Records management» («Информация и документация - Управление документами», 2001 г.) содержит общие требования и четкую методологию управления любыми документами на всех видах носителей и во всех форматах, создаваемых и получаемых разнообразными организациями в процессе их деятельности, разработки и внедрения систем документооборота. Стандарт был подготовлен на основе стандарта Австралии AS 4390 «Records management», определяющей идеей при разработке которого явилось то, что управление документацией организации является важнейшей частью управления ее деловой деятельностью, так как документ по своей сути является не только входом и (или) выходом одной или нескольких деловых операций, но также свидетельством выполнения таких операций.

Первая часть - ISO 15489-1 «Information and documentation - Records management - Part 1: General» («Информация и документация - Управление документами. Часть 1: Общие принципы») - собственно стандарт ISO 15489, где сформулированы наиболее общие требования и принципы управления документацией (создания, сбора и управления любыми документами на любых носителях) и информационными ресурсами, создаваемыми и получаемыми организациями любой формы собственности в процессе их деятельности.

К этим принципам относятся установление и документальное закрепление:
1) основных правил и стандартов работы с документацией в организации;

2) распределения ответственности и полномочий в области работы с документацией между сотрудниками организации;

3) делопроизводственных процессов и технологий.

Вторая часть - ISO/TR 15489-2 «Information and documentation - Records management - Part 2: Report» («Информация и документация - Управление документами. Часть 2: Отчет») - технический отчет, оформленный в виде приложения к стандарту ISO 15489-1, где описан практический вариант внедрения положений ISO 15489 на основе опыта организации «Стандарты Австралии», даны объяснения к этому варианту, приведена библиография. Эта часть содержит описание этапов создания системы управления документацией, отвечающей мировым требованиям к делопроизводственным процессам. В стандарте даны определения двадцати одного основного термина, включая базовые - «документ» и «управление документами». Являясь средством общения профессионалов различных сфер деятельности, ISO 15489 предполагает несколько иное понимание документа, иную терминологию.

Термин «документ (record)» в стандарте определен как «информация, созданная, полученная и сохраняемая организацией или частным лицом в качестве доказательства при подтверждении правовых обязательств или управленческой деятельности», а «управление документами (records management)» как «область управления, отвечающая за эффективный и систематический контроль за созданием, получением, сохранностью, использованием и определением судьбы документов, включая процессы сбора и сохранения свидетельств деловой деятельности и информации о ней в виде документов».

В отличие от устоявшейся десятилетиями терминологии действующих советских ГОСТ и белорусских СТБ, в ISO 15489 основная нагрузка в термине «документ» приходится на те функции, которые документы реализуют в деловых процессах организаций, а не на формальные признаки документа. Стандарт ISO 15489-1:

- регламентирует управление документами на любых носителях в любом формате и информационными ресурсами, создаваемыми, созданными или полученными организациями любой формы собственности в процессах их деятельности, а также лицами, профессиональными обязанностями которых является создание и (или) обработка документов;

- облегчает разработку и внедрение в организациях систем управления документацией или их совершенствование.

- требует выработки локальных (внутренних) нормативных документов организации;

- требует от системы управления доступом к документации, чтобы «надлежащее управление доступом обеспечивалось через установление статуса доступа, как документам, так и пользователям»;

- указывает, что управление документами в организации должно включать создание, применение и администрирование систем управления документами, интегрированных с системами управления и управленческими процессами;

- закрепляет наиболее важные виды работ в процессе создания автоматизированной системы документационного обеспечения управления (ДОУ) организации: фиксация сведений о том, какие виды деловой деятельности требуют документирования; когда, как и где документы должны быть созданы; - определяет, что политики управления и хранения документации должны приниматься руководством организации и распространяться на всех работников, в чьи функции входит создание документов. В политиках закрепляется ответственность за любой документ в организации на каждом уровне управления; - тесно связан с защитой интересов работников организации и ее внешней бизнес-среды в связи со своевременной утилизацией информации; - содержит рекомендации по управлению документами организации для соответствия требованиям международных стандартов управления качеством ISO 9001, а также ISO 14001;

- не регулирует управление архивными документами в организациях (архивных учреждениях).

- содержит рекомендации по разработке и внедрению системы документооборота в организации.

Система документооборота организации должна:

- служить главным источником информации обо всех документируемых действиях в организации;

- охватывать все документы и информационные ресурсы организации;

- отражать (в схеме систематизации документов) деловые процессы всей организации и ее филиалов;

- защищать документы организации и их носители от несанкционированных действий по отношению к ним.

Многие положения ISO 15489 непосредственно связаны с защитой информации и ее носителей, с обеспечением безопасности самой организации, ее работников и ее внешней среды в связи с хранением и санкционированным уничтожением информации в соответствии с требованиями действующего национального законодательства.

Такие положения применяются при выработке в любых организациях регламента системы безопасности информации.

В Республике Беларусь стандарт ISO 15489 вполне соответствует используемым системам делопроизводства и может применяться:

1) для подготовки внутренних нормативных документов;
2) для оценки эффективности работы службы ДОУ;
3) при выборе автоматизированной системы ДОУ (АС ДОУ);
4) как руководство по разработке и внедрению программы управления документами в организации.

В Республике Беларусь ощущается нехватка системных технологов - специалистов ДОУ, способных системно внедрять и управлять АС ДОУ. ISO 15489, также как и ряд других ТНПА в области управления документами, может использоваться для определения:

1) общих направлений развития ИТ в государственном секторе экономики;

2) количества специалистов ДОУ и объема их подготовки (переподготовки).

Требования, содержащиеся в международных ТНПА, могут быть использованы в качестве учебных материалов.

Стандарту ISO 15489 в нашей стране еще предстоит проложить себе дорогу. Он был принят как ISO 15489-1:2001 «Информация и документация. Оперативный учет. Часть 1: Общие принципы» и ISO 15489-2:2001 «Информация и документация. Оперативный учет. Часть 2: Отчет». Уже перевод словосочетания «records management» в английском названии стандарта как «оперативный учет» в белорусском названии говорит о том, что при переводе применялась лексика скорее из области бухгалтерского учета, анализа и аудита, а не управления документами.

В России ISO 15489 был утвержден 12 марта 2007 г. как ГОСТ Р ИСО 15489. Поэтому в Республике Беларусь, учитывая почти пятилетнюю непростую историю в России с адекватным переводом стандарта на русский язык и его принятием, необходимо принять ISO 15489 как СТБ ГОСТ Р ИСО 15489, несмотря на появившиеся различия в белорусских и российских системах делопроизводства.

стандарт MoReq Европейского Союза

Собственный стандарт в области управления документами Европейский Союз принял в 2001 г. вынужденно, после вызова США успехами в области электронного документооборота (ЭДО), активно поддерживаемых правительством США (в первую очередь, министерством обороны). Разработка стандарта финансируется правительством Евросоюза.

Требования стандарта MoReq к системам ЭДО существенно шире, чем у стандарта DoD 5015.2. В MoReq однозначно проводится различие между основными типами систем управления документами: информационными системами (EDMS, electronic document management system) и системами ЭДО (ERMS, electronic record management system).

Храмцовская Н.А., член Гильдии Управляющих Документацией, считает, что проводимое в стандарте MoReq главное отличие систем ЭДО заключается в том, что они не только обеспечивают сохранность информации, но также целостность и аутентичность ЭД. После регистрации информационного материала в качестве документа, тот не может быть изменен или уничтожен (только если он не имеет статуса документа временного срока хранения). В современной мировой практике основным направлением развития в области управления документами становится все более тесная интеграция информационных систем (EDMS) с системами ЭДО (СЭД).

Стандарт MoReq содержит основные требования к:
- самой СЭД;
- классификационной схеме (электронной номенклатуре дел);
- средствам обеспечения безопасности документов;
- хранению документов в течение установленного срока, их передаче и уничтожению;
- вводу документов в систему;
- идентификаторам объектов;
- поиску, извлечению и выводу документов;
- метаданным и эталонной модели.

В требованиях MoReq также рассмотрены:
- автоматическая защита аутентичности документа;
- экспертиза ценности, сроки хранения документов, уничтожение документов;
- организация долговременного хранения ЭД;
- важнейшие документы и восстановление деятельности после катастроф.

Стандарт MoReq требует практического слияния в организациях служб ИТ и ДОУ. Все пользователи системы делятся на администраторов и пользователей. Функции делопроизводства переданы администратору, а роли непривилегированного пользователя не придано никакого значения. Это идет несколько вразрез с наблюдающимся в мире усилением роли работников ДОУ в качестве системных технологов при администрировании СЭД (для сравнения - стандарт минобороны США DoD 5015.2 делит пользователей системы на администратора, управляющего документами, привилегированного пользователя, непривилегированного пользователя).

Завершена разработка 2-й версии стандарта MoReq (MoReq2). Приоритетные направления при разработке MoReq2:
- разработка программы сертификации программных продуктов на соответствие требованиям стандарта;
- переработка уже существующих базовых требований, включая оценку соответствия стандарту ISO 15489;
- управление тематическими делами, организация Workflow;
- эффективное управление гибридными досье и внеэлектронной (физической) документацией;
- интеграция с системами управления контентом (управление информационными материалами на веб-сайтах).

Каждая страна-член ЕС самостоятельно решит, что войдет в ее нулевую главу - национальное введение в MoReq. Эта глава отражает влияние особенностей национального законодательства и традиций в области управления документами (например, в отношении документирования транзакций, регистрации и т.п.), гармонизированный перевод терминов и др.
Для облегчения использования требований стандарта в различных национальных условиях они разбиваются на новые опциональные модули:
- расширенные средства поиска;
- организация хранения документов;
- распределенные СЭД и режимы работы с ними;
- работа с тематическими делами
и др.
Для обеспечения проверяемости требований будет разработан пакет документации для сертификации программных средств на соответствие требованиям стандарта.

электронные архивы

Основными стандартами ISO по работе с электронными архивами являются ISO 14721:2003 «Space data and information transfer systems - Open archival information system - Reference model» (модель OAIS) и ISO 15836:2003 «Information and documentation - The Dublin Core metadata element set» (Дублинское ядро набора элементов метаданных)

базовые международные ТНПА по управлению безопасностью информации в организациях

стандарт ISO/IEC 17799:2005

Стандарт ISO/IEC 17799:2005 «Информационные технологии и безопасность. Правила управления информационной безопасностью» разработан на базе британского стандарта BS 17799. В Республике Беларусь он действует как СТБ ИСО/МЭК 17799:2005 «Технологии информационные. Методы обеспечения защиты. Кодекс установившейся практики по управлению безопасностью информации». Стандарт устанавливает общие правила организации, реализации или сопровождения информационной безопасности в организациях (схемы классифицирования данных, методы доступа, стратегии планирования развития и оценок рисков безопасности, градации ответственностей работников и др.).

Стандарт предназначен для обеспечения общего базиса при разработке стандартов безопасности и реализации (сопровождения) эффективного управления безопасностью в организации и ее подразделениях (в частности, в их архивах), а также для обеспечения необходимой степени конфиденциальности при контактах между организациями.

Стандарт учитывает:
- существенное возрастание роли электронной коммерции во всем мире;
- общее усиление требований к безопасности информации;
- широкое распространение проектов «электронных правительств», защиты персональных данных и защиты интеллектуальной собственности.

Поэтому, в качестве базовых принципов, полная реализация которых должна гарантировать существенную прочность базы обеспечения безопасности информации в организациях, стандартом приняты:
1) защита данных и документов организации, а также обеспечение конфиденциальности персональных данных;
2) защита прав интеллектуальной собственности.

ISO/IEC 17799:2005 является фундаментом всей системы управления организацией, сводом правил «хорошей практики ведения дела». В руководство по применению стандарта включены рекомендации по выработке кадровой политики и юридических требований, системы обеспечения непрерывности производственного процесса, политик безопасности. Стандарт применяется в качестве критериев оценки механизмов безопасности организационного уровня, в том числе административные, процедурные и физические меры защиты. В нем выработаны:
- схемы классификации данных, документов и информационных материалов;
- методы доступа к ним;
- стратегии планирования развития и оценок рисков безопасности;
- градации ответственностей работников организации.

В ISO/IEC 17799:2005 заложены нормы, согласно которым организации должны обеспечивать безопасность при управлении документацией, основываясь на положениях ISO 15489, который отныне будет применяться в сертификации по международным стандартам безопасности информации.

стандарт ISO/IEC 15408-99 («Общие критерии»)

В начале 1990-х гг ISO начала вырабатывать для общего использования стандарты по критериям оценки безопасности информационных технологий - Common Criteria for Information Technology Security Evaluation. В июне 1999 г был утвержден стандарт ISO/IEC 15408-99 «Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель. Часть 2: Функциональные требования безопасности. Часть 3: Гарантийные требования безопасности» («Общие критерии»), который устанавливает критерии оценки механизмов информационной безопасности на программном и аппаратном уровнях.

ISO/IEC 15408-99 направлен на защиту информации от потери возможности ее использования, модификации или несанкционированного раскрытия. Критериями защиты являются обеспечение:

1) доступности (готовности), то есть информация и средства ее автоматизированной обработки, при возникновении в них надобности, обязаны быть доступны (готовы к функционированию);

2) целостности, то есть информация должна быть достоверно защищенной от несанкционированного изменения содержания (уничтожения);

3) конфиденциальности, то есть определенная информация может быть доступна только тому кругу лиц, для которого она предназначается согласно нормативных актов, действующих в организации.

Применение методологии стандарта позволяет выработать в организациях основу критериев для разработки системы оценки защитных свойств систем автоматизации.

На основе стандарта ISO/IEC 15408-99 разрабатываются СТБ серии 34.101 в области методов и средств безопасности информационных технологий.
стандарты ISO серии 27000 по управлению безопасностью информации

Cтандарт ISO 27001 «Требования к системе управления безопасностью» заменяет стандарт BS7799. Cтандарт ISO/IEC 17799 является «сводом деловой практики» и регулирует отдельные меры по обеспечению безопасности информации.

Cтандарт BS7799 регулирует требования к системе управления информационной безопасностью, описывая систему управления информационной безопасностью, в которой возможно выбирать и применять отдельные локальные меры, описанные в стандарте ISO/IEC 17799. Стандарт BS7799 входит в состав сертификационных стандартов по информационной безопасности.

По сравнению со стандартом BS7799, в ISO 27001 внесен ряд изменений в сторону углубления гармонизации подходов с другими стандартами менеджмента ISO 9001 и более полного применения известной модели PDCA («Plan-Do-Check-Act» = «Планирование - Выполнение - Проверка - Исправление»). ISO 27001 - первый в серии 27000. ISO 17799 в настоящее время перерабатывается в ISO 27002. Разрабатывается стандарт ISO 27004 по метрике и оценке безопасности. Международная сертификация в области безопасности информации будет происходить по требованиям стандартов этой серии. В отчете «Аутентичность электронных документов» для ЮНЕСКО и Международного совета архивов (январь 2004 г.), отмечено, что «...обеспечение стандартов качества делопроизводства важно для максимально возможной защиты аутентичности электронных документов. Внедрение стандартов и сводов хорошей деловой практики должно идти рука об руку с законодательством».

Но при этом у нас фактически отсутствует:

1) единая государственная техническая политика для используемых АС ДОУ. Наличие единых национальных требований к АСДОУ заставит разработчиков программных средств делать свои системы релевантными отечественному делопроизводству, соответствующими определенным минимальным требованиям и реально взаимодействующими друг с другом;

2) официально признаваемые ТНПА для обработки ЭД, обеспечивающие признание их юридической силы судебными инстанциями и органами государственной власти и управления;

3) единообразные методики экспертизы ценности ЭД, передачи на архивное хранение, уничтожения, работы с конфиденциальными (секретными) ЭД и др.

Заключение

С учетом существующих реалий в Республике Беларусь, принимаемые ТНПА в области делопроизводства должны обеспечивать:

1) адекватное применение принципов и технологий обработки документов, гармонизированных с международными;

2) единое методологическое обеспечение создания АСДОУ для различных организаций;

3) способность АСДОУ импортировать и экспортировать документы и их метаданные в установленном государством стандартном формате.

Базовые ТНПА в области управления документами не переводятся на русский язык, известны они только ограниченному количеству специалистов. А ведь в разработке таких ТНПА должен принимать участие широкий круг представителей государственных организаций (службы ДОУ и архивного дела, ИТ, информационной безопасности); производителей (поставщиков) АСДОУ; юристов, экономистов и др.

В Республике Беларусь необходимо принять ISO 15489-1 (как СТБ ГОСТ Р ИСО 15489) и сопутствующие ему ТНПА с целью их ускоренного внедрения в практику.

Особый интерес также в условиях Республики Беларусь представляют ТНПА:
- содержащие требования к АС ДОУ;
- по правовому управлению ЭД (чтобы они принимались в качестве доказательств судебными инстанциями и органами государственной власти и управления);
- по управлению видами ЭД (e-mail, базы данных, веб-страницы и т.д.);
- по обеспечению долговременной сохранности ЭД.

Среди функциональных требований к АСДОУ, вырабатываемых в национальных ТНПА, обязательно гармонизированных с ISO 15489, евростандартом MoReq и с другими международными ТНПА, должны указываться:
- функциональные возможности, необходимые для организации юридически значимого ЭДО в органах государственной власти и управления;
- требования в общем, без излишней детализации, без определения особенностей технологий;
- общий нефункционал (требования по производительности, эргономике и т.п.).

Неурегулированность в должной степени действующим законодательством Республики Беларусь тех аспектов нормативного регулирования ЭДО и его защиты, которые уже с успехом отработаны в мировой практике, продолжает существование крайне громоздких, с большим трудом и неэффективно управляемых систем «бумажного + электронного» документооборота, в которых ЭД до сих пор продолжают легализовываться при помощи бумажных документов.

В современных условиях такое положение дел вступит в серьезное противоречие с базисным принципом функциональной эквивалентности ЭД и бумажных документов, который является фундаментальным в международном законодательстве в области электронной коммерции и электронной подписи.



Силков Сергей В., член Гильдии управляющих документацией (Россия).


Сетевые решения. Статья была опубликована в номере 06 за 2008 год в рубрике закон и порядок

©1999-2024 Сетевые решения