Доведено до исполнителя в части его касающейся

Бывает так, что вам нужно подключить сотрудника к работе над каким-то документом, но при этом не посвящать его во все детали. С бумажными документами поступали просто: делали копию и черным маркером закрашивали все лишние подробности — например, название клиента, его реквизиты, сумму договора и т. д.

Как быть с электронным документом? На первый взгляд еще проще – удалите все конфиденциальные данные и отправляйте кому нужно. Ан нет! Как всегда, дьявол в деталях:

• Удаленный текст иногда можно восстановить;




• Конфиденциальная информация может остаться в метаданных документа (не только в СЭД — см. также свойства файла)




• При удалении фрагментов текста «поплывет» форматирование и документ будет неудобно читать;




• Исходный документ может быть в графическом формате (скан, фотография или чертеж);




• Цифровые фотографии могут хранить кучу данных: дата и время съемки, GPS-координаты, данные о камере и т.д.




• Особенно касается таблиц: при удалении ячеек или листов нарушатся формулы, документ потеряет смысл;




• Еще про таблицы: Бывает, что нужно скрыть формулы, а значения можно оставить;




• В документе могут быть гиперссылки на внешние объекты, в самых неожиданных местах.

Стать немного цензором

В цифровую эпоху одним лишь черным маркером не обойтись, если вам нужно изготовить копию документа, не содержащую информации ограниченного распространения. Более того, как раз именно такие средства, типа маркера таят наибольшую угрозу.

Вы можете прочитать этот текст? – вот, например, фрагмент текста, закрытый черным маркером. Что вам мешает его скопировать и вставить, скажем в обычный Блокнот Windows? – И читайте на здоровье!

Что касается сканов документов или фотографий, то наложение черных областей или расфокусировка каких-то зон тоже не всегда гарантирует необратимость этого действия. Цифровому цензору нужны более надежные инструменты, гарантирующие удаление информации без возможности ее восстановления.

Поэтому нужно позаботиться о надежных инструментах для исключения лишней информации из документа и его метаданных, и обычные офисные пакеты здесь не всегда лучшие помощники. Вполне возможно, что вам потребуются специальные средства по контролю за всевозможной скрытой информацией.

Не прервать связи с оригиналом

Нужно учесть еще один момент: если вы передаете исполнителю или партнеру цензурированную версию документа, то вам самим-то нужно отслеживать его связь с оригиналом, чтобы знать, что и кому вы решили не сообщать и чтобы потом собрать всю картину воедино.

Иначе говоря, ваша СЭД или ECM система должна поддерживать функции создания цензурированных копий, управлять их связями с оригиналом, позволять вносить комментарии с какой целью и какая информация удалена и ограничивать доступ к этим данным только уполномоченным сотрудникам – это если коротко.

Более подробно функциональные требования по работе с цензурированными копиями (или выписками из документов) содержались еще в первой версии спецификации MoReq, которая была опубликована более десяти лет назад. В новых редакциях этот раздел также присутствует.

Стандарт ISO вам в помощь

Чтобы учесть всевозможные нюансы, которые возникают при изготовлении цензурированных копий документов, лучше обратиться к стандартам – потому что полагаясь только лишь на здравый смысл и собственные знания, можно что-то упустить, а потом кусать локти, читая полную версию своего документа где-нибудь на Wikileaks.

Поможет вам в этом нелегком деле новый международный стандарт ISO/IEC 27038:2014 — Information technology — Security techniques — Specification for digital redaction.

Стандарт небольшой, всего 9 страниц, но за то практически весьма полезный. Его изучение поможет вам более вдумчиво посмотреть на процесс распространения информации и заставить сорок раз подумать, прежде чем отправить по электронной почте очередной файл, в котором – вроде бы – ничего такого секретного и нет. Может оно и так, но проверить не помешает.

Будьте бдительны!

Цель этого поста – обратить ваше внимание, что цифровой мир устроен сложнее, чем бумажный и поэтому привычные практики могут оказаться неэффективны. Нужно научится глубже понимать природу электронных документов, в какой-то мере их внутреннее устройство и структуру, если вы всерьез задумываетесь о безопасности.

Стандарт не даст вам исчерпывающих советов, как поступать в каждой конкретной ситуации, но позволит задать принципы и политики работы с документами, которые уменьшат риски всевозможных утечек.