Как производится передача конфиденциальных документов или дел работникам предприятия
Опубликовано: 24.12.2024
Организация конфиденциального делопроизводства - это создание необходимых условий для изготовления и получения конфиденциальных документов, организации работы с ними и предотвращения утраты и утечки документированной конфиденциальной информации.
Организация конфиденциального делопроизводства включает в себя осуществление ряда мероприятий: создание структурного подразделения, обеспечивающего изготовление, учет, хранение, обработку и использование конфиденциальных документов, установление его статуса, структуры, численного и должностного состава; разработку положения о подразделении и должностных инструкций сотрудников; выделение для подразделения помещения, обеспечение необходимых условий труда; разработку или приобретение нормативных документов, организационной и методической литературы по организации и ведению конфиденциального делопроизводства; создание постоянно действующей экспертной комиссии; оформление допуска работников к коммерческой тайне и обучение их правилам работы с конфиденциальными документами.
Конфиденциальное делопроизводство в целях обеспечения условий для сохранности и конфиденциальности документов должно быть организованным, т.е. сконцентрированным в самостоятельном подразделении организации.
Подразделение конфиденциального делопроизводства может быть структурным подразделением организации, подчиненным непосредственно руководителю организации, или входить в состав других подразделений, как правило, осуществляющих защиту конфиденциальной информации: службу безопасности, службу защиты информации и др.
Наименование подразделения конфиденциального делопроизводства, его статус и, при необходимости, структуру определяет руководитель организации, исходя из объема конфиденциального делопроизводства и общей структуры организации.
Подразделение конфиденциального делопроизводства является составной частью системы защиты коммерческой тайны, органом, осуществляющим, координирующим и контролирующим работу с конфиденциальными документами. Оно должно рассматриваться как структурное подразделение, непосредственно участвующее в основной деятельности организации.
Численный состав сотрудников подразделения конфиденциального делопроизводства должен определяться объемом выполняемой работы с учетом норм времени на её выполнение.
Поскольку государственные нормативы времени на работы, связанные с конфиденциальным делопроизводством, отсутствуют, следует использовать государственные нормативы времени, установленные для открытого делопроизводства, только нормативы применительно к конфиденциальному делопроизводству должны быть увеличены приблизительно на 20%, что обосновано большим количеством и сложностью действий с конфиденциальными документами.
Обоснованное определение численности сотрудников подразделения конфиденциального делопроизводства на основе нормирования их труда обеспечивает оптимальную загрузку сотрудников, что влечет за собой повышение оперативности и качества работы.
Состав должностей сотрудников подразделения конфиденциального делопроизводства должен определяться характером и сложностью выполняемой работы. Для более многообразной и сложной работы следует устанавливать и более значительные должности. При определении должностей следует руководствоваться «Общероссийским классификатором профессий рабочих, должностей служащих и тарифных разрядов» и нормативными документами, в которых содержатся квалификационные требования к должностям.
При незначительном объеме конфиденциального делопроизводства подразделение конфиденциального делопроизводства может не создаваться. В этом случае издание, обработка и хранение конфиденциальных документов возлагается на назначенных приказом руководителя организации нескольких или одного сотрудника других подразделений, как правило, службы безопасности. На этих лиц распространяются все задачи, функции, права и ответственность, возлагаемые на подразделение конфиденциального делопроизводства.
Если ведение конфиденциального делопроизводства возложено на одного сотрудника, то для выполнения отдельных действий, в которых требуется участие двух лиц (проверки наличия, уничтожение документов) необходимо привлекать (лучше на постоянной основе) второго сотрудника данного или другого подразделения, имеющего доступ к этим документам. Такое привлечение оформляется приказом по организации.
Следует подчеркнуть, что в целях обеспечения сохранности и конфиденциальности документов на подразделение конфиденциального делопроизводства или на специально выделенных для ведения конфиденциального делопроизводства сотрудников должны быть возложены все мероприятия по печатанию, учету, размножению, хранению, передаче, отправлению, систематизации, проверке наличия и уничтожению конфиденциальных документов. Функции исполнителей и пользователей конфиденциальных документов в сфере изготовления и обработки документов ограничиваются подготовкой документов и их исполнением.
Основные задачи и функции подразделения конфиденциального делопроизводства, а также права и ответственность его руководителя должны быть закреплены в положении о подразделении, а обязанности, права, ответственность сотрудников подразделения конфиденциального делопроизводства или специально назначенных для ведения конфиденциального делопроизводства лиц - в должностных инструкциях, разрабатываемых на конкретные должности. В должностных инструкциях могут устанавливаться и квалификационные требования к сотрудникам - образование и стаж работы на аналогичной должности.
Положение о подразделении конфиденциального делопроизводства и должностные инструкции сотрудников являются организационно-правовыми документами, регламентирующими статус подразделения в целом и каждого из его сотрудников.
При определении задач и функций подразделения конфиденциального делопроизводства необходимо исходить из того, что оно должно не только организовывать и осуществлять документационное обеспечение управленческой и производственной деятельности организации, но и участвовать во всех мероприятиях по предотвращению утраты конфиденциальных документов и утечки содержащейся в них информации. Это участие не ограничивается разработкой и осуществлением соответствующих мероприятий только в рамках подразделения конфиденциального делопроизводства. Утрата и утечка конфиденциальной информации в большинстве случаев происходят по вине исполнителей и пользователей конфиденциальных документов, нарушающих по разным причинам правила обращения с такими документами. Поэтому значительная часть функций подразделения конфиденциального делопроизводства связана с обучением исполнителей и пользователей правилам работы с конфиденциальными документами и осуществлением контроля за их выполнением. Этим обусловлены и соответствующие права подразделения конфиденциального делопроизводства, в том числе такие, как участие в подборе кадров для работы с конфиденциальной информацией, внесение предложений об отстранении от конфиденциальных работ, поощрении и привлечении к ответственности исполнителей и пользователей конфиденциальных документов, участие в проведении расследований по фактам утраты и утечки конфиденциальной информации. В целом комплекс задач, функций, прав и ответственности подразделения конфиденциального делопроизводства вытекает из содержания его работ.
При разработке должностных инструкций следует учитывать, во-первых, необходимость специализации сотрудников по отдельным видам работ, что ускоряет их выполнение и повышает качество, и, во-вторых, нормативы времени на работы с тем, чтобы все сотрудники были привлечены к выполнению работ равномерно, в соответствии с должностью и не было перезагруженности, которая отрицательно сказывается на качестве работы. При установлении квалификационных требований к должностям необходимо иметь в виду сложность выполнения некоторых видов работ, требующих специальной подготовки. На соответствующие таким работам должности следует, как правило, назначать специалистов с высшим или средним специальным образованием в области защиты информации.
В соответствии с законодательством сотрудники подразделения конфиденциального делопроизводства несут дисциплинарную, административную или гражданско-правовую ответственность за утрату конфиденциальных документов или разглашение содержащейся в них информации, поэтому в должностных инструкциях должна быть установлена персональная ответственность сотрудников за сохранность конфиденциальных документов и содержащейся в них информации.
Все сотрудники, принимаемые на работу в подразделение конфиденциального делопроизводства, а также при отсутствии подразделения, специально назначенные для ведения конфиденциального делопроизводства лица должны дать письменное обязательство по соблюдению режима коммерческой тайны. Это обязательство фиксируется в трудовом договоре (контракте) или специальном соглашении о соблюдении режима коммерческой тайны. Сотрудники могут допускаться к работе только после изучения в части, их касающейся, требований действующих в организации нормативно-методических документов по вопросам организации и ведения конфиденциального делопроизводства, обеспечения режима конфиденциальности проводимых работ и проверки знаний этих требований соответствующим руководителем.
Подразделение конфиденциального делопроизводства должно быть обеспечено помещением (при необходимости - несколькими помещениями) для хранения конфиденциальных документов и работы сотрудников подразделения, а также помещением для исполнителей, если работа с конфиденциальными документами не разрешена в служебных помещениях исполнителей. В помещении следует создавать и поддерживать необходимые условия труда, включающие совокупность компонентов, обеспечивающих работоспособность и здоровье сотрудников. Размещение помещения, предназначенного для хранения конфиденциальных документов, и его оборудование должны исключать возможность бесконтрольного проникновения в эти помещения посторонних лиц и гарантировать сохранность находящихся в них носителей сведений, содержащих конфиденциальную информацию. Помещение должно быть оборудовано охранно-пожарной сигнализацией и первичными средствами пожаротушения.
Помещение, в котором будет вестись конфиденциальное делопроизводство должно обеспечивать необходимую площадь на каждое рабочее место, быть оснащенным мебелью, а также оборудованием и техническими средствами, включая объекты информатизации, для оперативного изготовления, размножения, обработки документов, надежного их хранения, быстрого поиска.
Организация трудового процесса включает: разработку технологии выполнения работ, рациональное размещение рабочих мест сотрудников, установление правильного режима труда и отдыха, обеспечение техники безопасности.
Важной составной частью организации конфиденциального делопроизводства является создание постоянно действующей экспертной комиссии (далее - ПДЭК). Задачами такой комиссии должны быть:
- разработка перечня сведений, составляющих коммерческую тайну;
- разработка перечня издаваемых организацией конфиденциальных документов;
- снижение или снятие степени конфиденциальности сведений и грифа конфиденциальности документов;
- разработка Положения о разрешительной системе доступа к конфиденциальной информации;
- экспертиза ценности конфиденциальных документов с целью установления сроков их хранения и отбора документов на основе этих сроков для архивного хранения и уничтожения;
- проведение аналитической работы по предотвращению утечки и утраты конфиденциальной информации.
Учитывая важность задач ПДЭК, в ее состав следует включать наиболее квалифицированных сотрудников, в первую очередь, руководителей подразделений, имеющих доступ к конфиденциальной информации. Кроме того, в состав комиссии должны входить руководитель службы безопасности организации и руководитель подразделения конфиденциального делопроизводства, а также руководитель архива организации (при наличии архива). Председателем комиссии необходимо назначать одного из заместителей руководителя организации, допущенного ко всем конфиденциальным документам.
ПДЭК создается приказом руководителя организации и должна работать на постоянной основе с заменой в необходимых случаях отдельных ее членов. Задачи, функции и порядок работы комиссии определяются положением о ней. На ПДЭК может быть возложено и проведение экспертизы ценности открытых документов с тем, чтобы она могла оценивать значение документов, образующихся в деятельности организации, в их совокупности и таким образом более правильно определять сроки их хранения.
Работники организации, допущенные к работе с конфиденциальными документами, должны иметь допуск к коммерческой тайне в целом.
Допуск работников организации к коммерческой тайне осуществляется с их согласия и предусматривает:
- принятие работниками обязательств по соблюдению установленного в организации режима коммерческой тайны, которые закрепляются в трудовом договоре (контракте) или специальном соглашении о соблюдении режима коммерческой тайны;
- ознакомление работников с положениями законодательства о коммерческой тайне, предусматривающими ответственность за нарушение режима коммерческой тайны;
- ознакомление работников с перечнем сведений, составляющих коммерческую тайну организации и к которым сотрудники имеют право доступа.
Порядок изготовления конфиденциальных документов, режим обращения с ними требуют определенных знаний, которые должны быть приобретены до начала работы с документами и постоянно пополняться. С этой целью необходимо организовывать различные формы обучения работников: техническую учебу, семинары, самостоятельную подготовку со сдачей зачетов и др. Для проведения занятий следует привлекать не только сотрудников подразделения конфиденциального делопроизводства, но и руководителей соответствующих подразделений организации, а также специалистов по конфиденциальному делопроизводству, работающих в соответствующих научно-исследовательских и учебных заведениях.
Поэтому правильная организация конфиденциального делопроизводства в организации является составной частью комплексного обеспечения безопасности информации и имеет важное значение в достижении цели ее защиты.
Вопросы конфиденциального документооборота в организации несомненно играют важную роль в достижении ее экономических успехов.
В коммерческом секторе и госструктурах тема информационной безопасности становится все актуальнее. Разрабатываются различные программы для предотвращения хакерских атак и контроля за несанкционированным доступом к конфиденциальной информации. Однако конфиденциальное бумажное делопроизводство (учет носителей конфиденциальной информации и их специфическое оформление) еще никто не отменял.
Данную тему будем рассматривать в порядке разделов Инструкции по конфиденциальному делопроизводству организации (далее – Инструкция):
- общие положения, где прописываются принципиальные моменты;
- подготовка, оформление и учет носителей конфиденциальной информации;
- прием и регистрация входящих конфиденциальных документов;
- регистрация внутренних конфиденциальных документов;
- регистрация и отправка исходящих конфиденциальных документов;
- составление номенклатуры и ведение дел, журналов;
- формирование конфиденциальных дел;
- уничтожение конфиденциальных документов;
- контроль за состоянием конфиденциального делопроизводства.
Эти участки работы будем рассматривать с демонстрацией образцов оформления документов, потому «разговор» получится длинным – на несколько номеров журнала.
Порядок работы с носителями, содержащими коммерческую тайну, отличается от работы с персональными данными, потому эти две сферы целесообразно регламентировать разными локальными нормативными актами (далее по тексту – ЛНА).
Принципиальные моменты
В разделе «Общие положения» Инструкции, помимо целей разработки и области применения этого ЛНА, необходимо указать ответственных за конфиденциальное делопроизводство. Например, это можно сделать так:
Ответственность за состояние конфиденциального делопроизводства в структурных подразделениях несут руководители подразделений.
Обязанности по ведению конфиденциального делопроизводства в структурных подразделениях возлагаются на лиц, назначаемых руководителями Подразделений.
Права и обязанности лиц, ответственных за ведение конфиденциального делопроизводства, закрепляются в их должностных инструкциях.
Сведения о работниках, назначенных ответственными за ведение конфиденциального делопроизводства, сообщаются в Службу ДОУ и в Службу безопасности.
Работники, ответственные за ведение конфиденциального делопроизводства в структурном подразделении, могут включаться в состав Комиссии по вопросам ведения конфиденциального делопроизводства.
Вопросов по конфиденциальному делопроизводству (его еще называют закрытым) возникает много, и лучше сразу в Инструкции указать, кто будет по ним консультировать. Обычно это подразделение, ответственное за защиту информации, например, служба безопасности.
Проставление грифа ограничения доступа «включает» документ в более закрытую систему делопроизводства, и с ним начинают работать по особым, а не общим правилам.
В основе присвоения документу грифа конфиденциальности должны лежать: Перечень конфиденциальных сведений фирмы (возможен дополнительно разработанный Перечень документов с ограниченным доступом), требования партнеров и условия заключенных контрактов. При том на практике присваивать гриф конфиденциальности можно любому разрешенному для издания, но не включенному в «ограничительный перечень» документу, если это не противоречит действующему законодательству. Более того, некоторые организации делают Перечень открытым, путем помещения в него в самом конце следующей формулировки: «Сведения, не вошедшие в настоящий Перечень, но разглашение которых может навредить интересам Организации, также относятся к коммерческой тайне Организации». Данная формулировка имеет больше психологический характер, чем юридический, т.к. суду еще придется доказывать, что под нее подпадает, а что нет. Но на работников, которые ознакамливаются с Перечнем, она будет производить нужное впечатление.
Как установить режим коммерческой тайны в организации, описано пошагово в статье «Устанавливаем режим коммерческой тайны»
Чтобы разобраться с понятиями «конфиденциальная информация» и «коммерческая тайна», а также с другими видами тайн, читайте статью «5 видов тайн. или все-таки больше?»
Организация может применять в своей работе несколько грифов для разного уровня ограничения доступа. Но тогда для каждого из них должен быть утвержден свой перечень подпадающей под него информации / документов, а также должна быть установлена разная процедура работы (либо можно ограничиться разным составом лиц, имеющих допуск). Например, более «массовым» может быть гриф «Конфиденциально», а более закрытым – гриф «Коммерческая тайна».
Гриф ставится на всех экземплярах документа, учетных и отчетных формах, черновиках, вариантах и копиях, в которых содержится хотя бы один из конфиденциальных показателей.
Некоторые организации на ценных, но не конфиденциальных документах проставляют не гриф, а пометку в виде надписи или штампа, предполагающую особое внимание к их сохранности, например: «Копии не снимать», «Хранить в сейфе» и др.
Изменение или снятие грифа конфиденциальности с документа производится при изменении степени ценности содержащихся в нем сведений. Данная процедура должна быть четко регламентирована. После снятия грифа документ передается в службу открытого делопроизводства компании.
В общих положениях Инструкции можно также написать следующее:
Все носители, содержащие конфиденциальную информацию, изготовленные в компании или полученные от сторонней организации, подлежат обязательному учету в структурных подразделениях работниками, назначенными ответственными за ведение конфиденциального делопроизводства.
Учет носителей, содержащих конфиденциальную информацию, включает в себя присвоение и проставление в учетных формах и на носителях регистрационных номеров и запись данных о носителе (учетном номере, дате, исполнителе, заголовке, количестве листов, местонахождении и т.д.).
Гриф конфиденциальности документу присваивается Исполнителем (работником, подготовившим документ или осуществляющим обработку поступившего документа) по согласованию с непосредственным руководителем или должностным лицом, подписывающим (утверждающим) этот документ. Основанием для присвоения грифа является включение в него информации, указанной в Перечне информации, составляющей коммерческую тайну, и иной конфиденциальной информации Организации.
Учет носителей, содержащих конфиденциальную информацию, осуществляется в журналах учета. Журнальный учет может дублироваться автоматизированным учетом.
При журнальном учете каждый носитель регистрируется однократно.
Документы учитываются по количеству листов, издания – поэкземплярно, а дискеты, CD- и DVD-диски, ZIF- и ZIV-накопители и другие внешние электронные накопители, аудио- и видеокассеты – поштучно.
В журналах учета запрещается производить подчистки и исправления с применением корректирующей жидкости. Ошибочная запись зачеркивается одной чертой, а вносимые работником, ответственным за конфиденциальное делопроизводство, исправления оговариваются и заверяются его подписью с проставлением даты.
от 21 июля 2011 года N ММВ-7-10/459@
(с изменениями на 1 июня 2018 года)
Документ с изменениями, внесенными:
В целях совершенствования документационного обеспечения управления, повышения его эффективности путем унификации состава и форм управленческих документов, обеспечения контроля исполнения документов, а также интеграции традиционного делопроизводства с электронным документооборотом в системе Федеральной налоговой службы,
2. Руководителям структурных подразделений центрального аппарата ФНС России, руководителям управлений ФНС России по субъектам Российской Федерации, начальникам межрегиональных инспекций ФНС России обеспечить выполнение требований Порядка.
Руководителям управлений ФНС России по субъектам Российской Федерации довести Порядок до нижестоящих территориальных органов ФНС России и обеспечить его выполнение.
3. Внести в Положение о порядке обращения со служебной информацией ограниченного распространения в налоговых органах, утвержденное приказом ФНС России от 31.12.2009 N ММ-7-6/728@ (далее - Положение), следующие изменения и дополнения:
в пункте 2.3 Положения исключить текст "регистрации,";
пункт 2.15 Положения изложить в следующей редакции:
"2.15. При увольнении или переводе на другую должность работник структурного подразделения налогового органа, за которым в "Журнале учета входящих документов "Для служебного пользования" числятся документы, возвращает их секретарю (делопроизводителю) структурного подразделения.
При увольнении или переводе на другую должность секретарь (делопроизводитель) структурного подразделения передает работнику, определенному руководителем структурного подразделения, "Журнал учета входящих документов "Для служебного пользования" и дела с документами "Для служебного пользования" по Акту приема-передачи.";
в абзаце 3 пункта 2.16 Положения и в наименовании Акта в приложении N 3 к Положению исключить текст "и состояния делопроизводства";
наименование раздела III в приложении N 3 к Положению изложить в следующей редакции: "III. Выводы и предложения комиссии".
4. Признать утратившими силу:
приказ ФНС России от 17.11.2006 N САЭ-3-18/794@ "Об утверждении Порядка обмена документами, содержащими конфиденциальную информацию";
приказ ФНС России от 27.06.2008 N ММ-3-4/293@ "О внесении изменений в приказ ФНС России от 17.11.2006 N САЭ-3-18/794@ "Об утверждении Порядка обмена документами, содержащими конфиденциальную информацию".
5. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной налоговой службы К.В.Янкова
Руководитель
Федеральной налоговой службы
М.В.Мишустин
УТВЕРЖДЕН
приказом ФНС России
от 21 июля 2011 года N ММВ-7-10/459@
Порядок обмена документами, содержащими конфиденциальную информацию
(с изменениями на 1 июня 2018 года)
1. Общие положения
1.1. Настоящий Порядок обмена документами, содержащими конфиденциальную информацию (далее - Порядок), регламентирует требования, обеспечивающие в налоговых органах прием входящих и отправку исходящих документов, содержащих конфиденциальную информацию (далее - ДСП-документы), а также прохождение ДСП-документов внутри налоговых органов.
Порядок регламентирует работу с ДСП-документами как в центральном аппарате ФНС России, так и в территориальных органах ФНС России (управления ФНС России по субъектам Российской Федерации, межрегиональные инспекции ФНС России, инспекции ФНС России по районам, районам в городах, городам без районного деления, инспекции ФНС России межрайонного уровня).
1.2. Отнесение информации к конфиденциальной осуществляется на основании законодательства Российской Федерации и нормативных документов ФНС России.
Ответственность за отнесение сведений, содержащихся в документе, к конфиденциальной информации возлагается на исполнителя и должностное лицо, подписавшее или утвердившее документ.
1.3. В налоговых органах организация обмена ДСП-документами осуществляется аналогично обмену документами без ограничения доступа в соответствии с индивидуальными инструкциями по делопроизводству с учетом особенностей, изложенных в настоящем Порядке.
Налоговые органы, исходя из специфики своей деятельности, при работе с ДСП-документами могут принимать иные обязательные методические нормы, не нашедшие отражения в настоящем Порядке, но не противоречащие его положениям.
1.4. Требования Порядка определяют правила работы со всеми ДСП-документами, кроме тех, порядок работы с которыми регламентируется специальными нормативными актами. Положения Порядка не распространяются на организацию обмена технологическими данными.
2. Обмен ДСП-документами налоговыми органами между собой, а также между налоговыми органами и сторонними органами власти или организациями
2.1. Обмен ДСП-документами налоговыми органами между собой, а также между налоговыми органами и сторонними органами власти или организациями может осуществляться:
- в бумажном виде и на небумажных носителях в качестве приложения к сопроводительному письму на бумажном носителе (далее - обмен ДСП-документами в бумажном виде);
- в электронном виде.
2.2. Обмен ДСП-документами в бумажном виде в пределах Российской Федерации осуществляется фельдъегерской связью, заказными или ценными почтовыми отправлениями.
Отправка ДСП-документов в пределах близлежащих населенных пунктов может осуществляться курьером. При этом документы должны быть упакованы таким образом, чтобы исключить возможность нарушения целостности упаковки и ознакомления с ними в процессе доставки. Пересылка небумажных носителей, содержащих ДСП-документы, осуществляется в контейнерах, обеспечивающих сохранность носителей и исключающих несанкционированный доступ к носителю.
2.3. Обмен ДСП-документами в электронном виде осуществляется по электронной почте (далее - ЭП), созданной и функционирующей в рамках действующей системы телекоммуникаций ФНС России, с использованием средств криптографической защиты информации (далее - СКЗИ).
ДСП-документы, отправляемые и принимаемые по ЭП с использованием СКЗИ, должны быть подписаны усиленной квалифицированной электронной подписью (далее - УКЭП) лица, подписавшего соответствующий бумажный ДСП-документ.
Официальные электронные почтовые ящики (далее - ЭПЯ) устанавливаются в структурных подразделениях, в функции которых входит документационное обеспечение управления (далее - подразделение ДОУ). В подразделении ДОУ назначаются работники, ответственные за прием и отправку ДСП-документов в электронном виде (далее - операторы ЭПЯ).
3. Прием, обработка и регистрация ДСП-документов
3.1. Прием, обработка и регистрация ДСП-документов, поступивших в бумажном виде.
3.1.1. Прием и обработка ДСП-документов осуществляется в подразделениях ДОУ аналогично приему и обработке документов без ограничения доступа в соответствии с индивидуальными инструкциями по делопроизводству с учетом особенностей, изложенных в настоящем разделе.
3.1.2. Для каждого поступившего документа работник подразделения ДОУ, ответственный за регистрацию ДСП-документов, выполняет следующие действия:
- в СЭД в БД "Канцелярия Экспедиция" создает регистрационную карточку (далее - РК), в которой заполняются поля: "От кого", "Исходящий N" и "Дата исходящего", а также поле "Кому", в которое вносится наименование структурного подразделения или должностного лица, которому будет направлен документ. Для ДСП-документов, поступивших из других налоговых органов, в СЭД в БД "Канцелярия экспедиция" в представление "Поступившие/ДСП-документы" от отправителя автоматически пересылается РК с заполненными полями "От кого", "Исходящий N" и "Дата исходящего";
- регистрирует РК. При регистрации РК в соответствующие поля автоматически проставляются регистрационный номер и дата регистрации полученной корреспонденции, РК входящего документа автоматически пересылается адресату в соответствии с информацией в поле "Кому";
- в правой нижней части лицевой стороны первого листа полученного документа (либо на конверте корреспонденции, которая не вскрывается в подразделении ДОУ) проставляется штамп, на котором указывается дата регистрации документа и его входящий номер. При этом к входящему номеру документа добавляется пометка "ДСП";
- передает ДСП-документ секретарю (делопроизводителю) приемной руководителя (заместителя руководителя) налогового органа или структурных подразделений. Передача ДСП-документов производится под роспись получателя документов в реестрах (приложение N 1), которые формируются средствами СЭД, распечатываются и подшиваются в дело в подразделении ДОУ.
3.2. Прием, обработка и регистрация ДСП-документов, поступивших в электронном виде.
3.2.1. Из поступившего на ЭПЯ сообщения оператор извлекает архивный файл на жесткий диск, разархивирует его с помощью программы-архиватора и проверяет:
- наличие файла документа, файла УКЭП к документу, файлов приложений (при их наличии) и файла списка рассылки;
- соответствие оформления файлов установленным требованиям;
- подлинность УКЭП и соответствие ее должностному лицу, подписавшему электронный документ.
При наличии ошибок дальнейшая обработка ДСП-документа не осуществляется, а отправителю сообщения направляется мотивированный отказ в приеме ДСП-документа.
3.2.2. Оператор ЭПЯ:
- распечатывает файл документа и файлы приложений (при необходимости);
- вписывает в распечатанный документ исходящий регистрационный номер, дату регистрации и номер экземпляра (выбирается из списка рассылки). В случае если у ДСП-документа имеется приложение, имеющее первоначальный номер экземпляра, то при распечатывании приложения ему присваивается номер экземпляра, равный: <первоначальный номер экземпляра>/<номер экземпляра из списка рассылки>;
- на бумажной копии документа ставит штамп "Дубликат. УКЭП подтверждена" и подпись.
Допускается вместо штампа делать запись вручную.
Если в адрес налогового органа направлено несколько экземпляров, распечатывается и обрабатывается необходимое количество экземпляров ДСП-документа согласно списку рассылки.
Приложения большого объема не распечатываются. При этом на документе ставится отметка: "Приложения в эл. виде можно получить в комн. N…".
3.2.3. Дальнейшая обработка и регистрация распечатанного ДСП-документа осуществляется в соответствии с пунктом 3.1.
Срок хранения поступивших почтовых сообщений составляет не менее 10 рабочих дней, включая дату поступления.
При необходимости работник структурного подразделения, которому поступает документ на исполнение, может получить ДСП-документ и приложения к нему в электронном виде на съемном магнитном носителе, учтенном в общеустановленном порядке в соответствии с требованиями информационной безопасности.
Файлы ДСП-документов и файлы приложений (при наличии), принятые по ЭП оснащенной СКЗИ, хранятся в подразделении ДОУ в течение всего срока хранения аналогичных ДСП-документов на бумажном носителе. По истечении сроков хранения файлы ДСП-документов и файлы приложений (при наличии) подлежат уничтожению программно-техническими средствами. В случае невозможности уничтожения файлов программно-техническими средствами проводится физическое уничтожение носителя файлов.
4. Подготовка и оформление резолюций по ДСП-документам руководителем (заместителем руководителя) налогового органа, рассылка их в структурные подразделения
4.1. Обработку ДСП-документов осуществляют секретари (делопроизводители) приемных руководителя (заместителя руководителя) налогового органа.
Секретарь (делопроизводитель) приемных руководителя (заместителя руководителя) налогового органа фиксирует ДСП-документы в "Журнале учета входящих документов "Для служебного пользования" (приложение N 2), который ведется в каждой приемной руководителя (заместителя руководителя).
4.2. Подготовка и оформление резолюций по ДСП-документам осуществляется аналогично подготовке и оформлению резолюций по документам без ограничения доступа в соответствии с индивидуальными инструкциями по делопроизводству с учетам особенностей, изложенных в настоящем разделе.
4.3. Секретарь (делопроизводитель) приемной для каждого документа выполняет следующие действия:
- при необходимости размножает по резолюции копии ДСП-документов. После размножения первоначального ДСП-документа его копиям к номерам экземпляров через дробь присваиваются дополнительные номера (/1, /2, /3 и т.д.); В случае если у ДСП-документа имеется приложение, имеющее первоначальный номер экземпляра, то при размножении копий приложений им присваиваются номера экземпляров, равные: <первоначальный номер экземпляра>/<номер экземпляра из списка рассылки>/<дополнительные номера (/1, /2, /3 и т.д.)>;
- в СЭД заносит в РК входящих ДСП-документов резолюции руководителя (заместителя руководителя) налогового органа и рассылает РК исполнителям.
- передает ДСП-документы секретарям (делопроизводителям) структурных подразделений. Передача ДСП-документов производится под роспись получателя документов в "Журнале учета входящих документов "Для служебного пользования".
4.4. Если в налоговом органе функции делопроизводителя приемной руководителя (заместителя руководителя) выполняет работник подразделения ДОУ, допускается:
- передачу ДСП-документов из подразделения ДОУ делопроизводителю приемной для доклада руководителю (заместителю руководителя) осуществлять без росписи в реестре (пункт 3.1.2);
Нужно ли вынимать документы из папок перед уничтожением?
Нет, не нужно! Перед тем, как документам попасть в шредер, они проходят через пункт сортировки, где документы вынимаются из файлов и отделяются от папок "корона".
Какая скорость шредирования документов?
Наши шредеры уничтожают от 3 тонн документов в час!
Может ли представитель нашей организации наблюдать за процессом уничтожения документов?
Да, без проблем!
Кто в организации несет ответственность за организацию уничтожения документации?
Ответственность за организацию уничтожения документов организации, возлагается на ее руководителя.
На основании каких документов можно списывать документы на уничтожение?
Документы уничтожаются на основании акта о выделении документов к уничтожению, данный акт могут составить наши специалисты.
Можем ли мы сами доставить документы на Ваш пункт уничтожения?
Конечно, при этом стоимость уничтожения документов будет снижена.
Каким образом происходит сжигание документов?
Сжигание документов производится в печах с вихревым кипящим слоем инертного материала – кварцевого песка при температуре более 800 градусов.
Что нужно делать с документами организации после ее ликвидации?
После ликвидации организации, документы по личному составу (75 лет хранения), в обязательном порядке должны быть переданы в архив на государственное хранение.
На ком лежит ответственность по организации и передачи документов в архив на государственное хранение при банкротстве предприятия?
При банкротстве предприятия, ответственность по сдаче документов в архив на государственное хранение лежит на конкурсном управляющем. Конкурсный управляющий может привлечь архивную компанию для архивной обработке и передачи документов в архив на государственное хранение.
Какой документ подтверждает передачу документов в архив на государственное хранение?
Договор с государственным архивом о передаче документов на хранение и акт приема передачи документов на государственное хранение. Во время конкурсного производства, предъявляется акт приема передачи документов на государственное хранение.
Кем должен быть выдан акта о приеме документов на государственное хранение?
Акт о приеме передаче документов на хранение в государственный архив, выдается непосредственно в том государственном архиве, куда были сданы документы.
Когда необходимо начинать готовить документы для передачи в государственный архив?
Процесс передачи документов на государственное хранение дело не быстрое и иногда может достигать от одного месяца до года, именно по этому проводить архивную обработку документов желательно ежегодно, однако если так получилось, что архивом в организации никто не занимался, следует обратиться в архивную компанию в самом начале процесса ликвидации или банкротства. Более того, не стоит забывать мудрую пословицу - Порядок в документах, порядок в делах!
Мы хотим сдать документы на государственное хранение, какие документы нам необходимо подготовить для Ваших специалистов?
Наши специалисты проведут полистную экспертизу ценности документов, после чего будут отобраны документы, подлежащие обязательной передаче в архив на государственное хранение.
Инструкция по обеспечению сохранности конфиденциальной информации
Инструкция по обеспечению сохранности конфиденциальной
информации
Оглавление:
- Общие положения.
- Порядок работы с конфиденциальной информацией, представленной в электронном виде.
- Определение конфиденциальной информации и обозначение бумажных документов, содержащих конфиденциальную информацию, и сроков ее защиты.
- Организация работы с бумажными документами, имеющих гриф «Конфиденциально».
- Порядок обеспечения сохранности документов и дел (архивов), содержащих конфиденциальную информацию.
Порядок допуска к конфиденциальным сведениям.
- Контроль за выполнением требований внутри объектового режима при работе с конфиденциальными сведениями.
- Обязанности сотрудников Организации, работающих с конфиденциальными сведениями и их ответственность за ее разглашение.
1. Общие положения
- доведение до сведения неуполномоченных лиц в устной, письменной, электронной или иной форме конфиденциальную информацию. Указанный факт может наступить в результате умысла сотрудника или по неосторожности, включая халатное отношение к своим обязанностям;
- использование конфиденциальной информации в процессе выполнения работы для другого предприятия, учреждения и организации или по заданию физического лица, иного субъекта предпринимательской деятельности без образования юридического лица;
- использование конфиденциальной информации в научной и педагогической деятельности;
- использование конфиденциальной информации в личных целях, не связанных с выполнением должностных обязанностей в Организации;
- использование конфиденциальной информации в ходе публичных выступлений, интервью и т.п.;
- иные действия сотрудника, в результате которых конфиденциальная информация, стала известна неуполномоченным лицам.
1.4. Не считаются разглашением конфиденциальной информации действия сотрудника, указанные в п.1.3. настоящей Инструкции, совершенные им в порядке и в случаях, предусмотренных законодательством Российской Федерации, во исполнение нормативных актов Организации или договоров (соглашений) Организации с иными организациями или физическими лицами. Не считаются разглашением конфиденциальной информации действия сотрудника, совершенные им при наличии письменного разрешения или иного указания руководства Организации.
1.5. Меры по ограничению открытых публикаций конфиденциальной информации не могут быть использованы для сокрытия информации, связанной с:
- учредительными документами организации;
- документами, дающими право заниматься предпринимательской деятельностью (регистрационными удостоверениями, лицензиями, патентами и т.д.);
- сведениями о финансово-хозяйственной деятельности и иными сведениями, необходимыми для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему;
- документами о платежеспособности;
- сведениями о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
- документами об уплате налогов и обязательных платежей;
- сведениями о загрязнении окружающей среды;
- сведениями о нарушении антимонопольного законодательства;
- сведениями о несоблюдении безопасных условий труда;
- сведениями о реализации продукции, причиняющей вред здоровью населения.
Данные ограничения связаны с постановлением Правительства РСФСР от 5 декабря 1991 года № 35, определяющего сведения, которые не могут составлять коммерческую тайну организации. В соответствии с Указом Президента Российской Федерации от 6 марта 1997 года № 188 “Об утверждении перечня сведений конфиденциального характера” коммерческая тайна организации является частным случаем конфиденциальной информации.
1.6. Предоставление конфиденциальной информации представителям контрольных, ревизионных, фискальных и следственных органов, народным депутатам, органам печати, радио, телевидения и т.п. допускается только с разрешения руководителя Организации.
1.7. Защита конфиденциальной информации предусматривает:
- определение конфиденциальной информации, и сроков ее защиты;
- систему допуска сотрудников Организации, частных и командированных лиц к конфиденциальной информации;
- обязанности лиц, допущенных к конфиденциальной информации;
- порядок работы с бумажными документами, содержащими конфиденциальную информацию;
- порядок работы с электронными документами, содержащими конфиденциальную информацию;
- обеспечение сохранности документов и дел (архивов) содержащих конфиденциальную информацию;
- принципы организации и проведения контроля за обеспечением установленного порядка при работе с конфиденциальной информацией;
- ответственность за разглашение конфиденциальной информации и утрату документов, содержащих конфиденциальную информацию.
2. Порядок работы с конфиденциальной информацией, представленной в электронном виде
2.1. Хранение, работа и архивирование любых электронных конфиденциальных документов (файлов) должно осуществляться с учётом требования ограничения несанкционированного доступа к ним третьих лиц способами, оговоренными настоящим разделом данной Инструкции.
2.2. Все персональные компьютеры, установленные на рабочих местах сотрудников, подключены к защищенной корпоративной компьютерной сети Организации (далее – сеть).
2.3. Каждый персональный компьютер оснащён стандартным набором программных средств, принятых для эксплуатации в Организации. Любые изменения в оснащении персонального компьютера, подключённых к сети, должны быть санкционированы руководством структурного подразделения, согласованы с администратором сети и осуществлены уполномоченными специалистами Организации.
2.4. Вся конфиденциальная информация, имеющаяся в распоряжении сотрудника, должна храниться и обрабатываться на корпоративном файл-сервере Организации.
2.5. Первичный допуск сотрудника к работе на персональном компьютере, включенного в сеть осуществляется системным администратором сети по указанию руководства соответствующего структурного подразделения и включает в себя:
- ознакомление сотрудника с настоящей Инструкцией под роспись;
- инструктаж по порядку работы с программными средствами, принятыми для эксплуатации в Организации;
- получение сотрудником персонального ключа для шифрования данных;
- получение сотрудником персонального пароля для доступа к ресурсам корпоративного сервера и локальной вычислительной сети;
- получение адреса персонального почтового ящика корпоративной почты;
- получение внутреннего персонального ICQ номера.
2.6. Сотрудник, допущенный к работе с персональным компьютером, получает доступ:
- к персональному разделу на корпоративном файл-сервере («Личная» папка) для хранения и обработки электронных конфиденциальных документов (файлов) с предоставленной в его распоряжение для выполнения поставленных перед ним задач;
- к разделу с открытыми ключами сотрудников Организации;
- к персональному почтовому ящику корпоративной почты.
2.7. Все электронные конфиденциальные документы (файлы), должны храниться на корпоративном сервере одним из возможных способов:
2.8. Все новые электронные конфиденциальные документы (файлы) должны создаваться только на файл-сервере в личной папке сотрудника.
2.9. Работа с электронными конфиденциальными документами (файлами), допускается только при условии расположения этих документов (файлов) на сервере способами оговоренными п.2.7.
2.10. В каждый конкретный момент времени в течение рабочего дня загруженными в персональный компьютер сотрудника должны быть только те электронные конфиденциальные документы (файлы), которые имеют непосредственное отношение к тому делу, которым занимается сотрудник в данный момент времени. При этом все другие конфиденциальные документы (файлы), должны находиться на сервере в виде согласно п.2.7.
2.11. Загрузка (открытие), сверх действительно необходимого количества, электронных конфиденциальных документов (файлов) на персональных компьютерах сотрудников запрещается.
2.12. В течение рабочего дня ставшие ненужными в текущей работе (отработанные) электронные конфиденциальные документы (файлы) подлежат незамедлительному закрытию (сохранению на файл-сервер).
2.13. С целью недопущения переполнения сетевых дисков, выявленные в течение дня ненужные файлы (старые версии файлов и т.д.) подлежат безусловному незамедлительному уничтожению.
2.14. Уничтожение электронных конфиденциальных документов (файлов) с сетевых дисков корпоративного файл-сервера осуществляется стандартными средствами операционной системы – команда «Удалить» контекстного меню. Уничтожение электронных конфиденциальных документов (файлов) с любых иных носителей должно осуществляться только с помощью утилиты Wipe специально предназначенной для уничтожения файлов без возможности их последующего восстановления.
2.15. Обмен электронными конфиденциальными документами (файлами) между сотрудниками находящимися в офисе осуществляется в зашифрованном виде одним из способов:
- используя сервис программы ICQ;
- используя сервис корпоративной почты.
2.20. Сотрудник, работающий с электронными конфиденциальными документами (файлами) обязан:
- выполнять требования администратора сети в рамках установленного регламента эксплуатации сети и требований настоящей Инструкции (технический перерыв, устранение выявленных нарушений хранения/обработки данных, профилактические работы на оборудовании сети). Несоблюдение требований настоящего пункта может привести к необратимой потере данных, ответственность за которую возлагается на самих сотрудников.
- при убытии в отпуск/командировку предоставить имеющиеся у него конфиденциальные электронные документы (файлы), которые могут понадобиться в его отсутствие (определяется руководителем), в распоряжение уполномоченного руководителем сотрудника в зашифрованном на открытом ключе этого сотрудника виде;
- ежедневно в конце рабочего дня производить «зачистку» локального диска своего персонального компьютера путём запуска соответствующей процедуры (ярлык «До свидания!» на рабочем столе Windows);
- еженедельно производить ревизию своей личной папки, размещённой на корпоративном файл-сервере, с целью выявления и уничтожения конфиденциальных электронных документов (файлов) ставших ненужными.
3. Определение конфиденциальной информации и обозначение бумажных документов, содержащих конфиденциальную информацию, и сроков ее защиты
4. Организация работы с бумажными документами, имеющих гриф «Конфиденциально»
5. Порядок обеспечения сохранности документов и дел (архивов), содержащих конфиденциальную информацию
7. Контроль за выполнением требований внутри объектового режиа при работе с конфиденциальными сведениями
8. Обязанности сотрудников Организации, работающих с конфиденциальными сведениями и их ответственность за ее разглашение
8.1. Сотрудники организации, допущенные к конфиденциальными сведениям, несут ответственность за точное выполнение требований, предъявляемых к ним в целях обеспечения сохранности указанных сведений.
8.2. До получения доступа к работе, связанной с конфиденциальной информацией, им необходимо изучить настоящую Инструкцию под роспись и заключить письменное обязательство о сохранении конфиденциальной информации, оформленное в виде договора.
8.3. Сотрудники организации, допущенные к конфиденциальной информации должны:
- знать и соблюдать требования настоящей Инструкции;
- хранить конфиденциальную информацию, в том числе не сообщать конфиденциальные сведения друзьям и членам своей семьи. О ставших им известной утечке сведений, составляющих конфиденциальную информацию, а также об утрате документов с грифом «Конфиденциально», немедленно сообщать своему руководителю структурного подразделения и в Службу безопасности;
- предъявлять для проверки по требованию комиссии по проверке конфиденциального делопроизводства и представителей Службы безопасности все числящиеся за ним материалы, содержащие конфиденциальную информацию, а в случае нарушения установленных правил работы с ними представлять соответствующие объяснения в устном и письменном виде;
- знакомиться только с теми документами и выполнять только те работы, к которым они допущены в соответствии с функциональными обязанностями и в соответствии с дополнительными задачами, возложенными на них руководством;
- строго соблюдать правила пользования и сохранности документов, имеющих гриф «Конфиденциально». Не допускать их необоснованной рассылки;
- выполнять требования внутри объектного режима, определяемые Службой безопасности, исключающие возможность ознакомления с материалами, содержащими конфиденциальную информацию, посторонних лиц, включая и сотрудников организации, не имеющих к указанным материалам прямого отношения.
- при ведении деловых переговоров с представителями сторонних организаций или частными лицами ограничиваться выдачей минимальной информации, действительно необходимой для их успешного завершения;
- при временном убытии (в отпуск, командировку, на учебу, лечение и т.д.) проверять наличие числящихся за ним конфиденциальных документов. Документы, которые подлежат исполнению или могут потребоваться в работе, передавать другому сотруднику по указанию руководства организации или руководства структурного подразделения. При прекращении трудовых или иных договорных отношений с Организацией, сотрудник обязан сдать все числящиеся за ним конфиденциальные документы;
- исключить использование конфиденциальных сведений в свою личную пользу, а также исключить деятельность, которая может быть использована конкурентами в ущерб организации.
8.4. Ответственность за разглашение конфиденциальных сведений, и утрату документов, содержащих такие сведения устанавливается в соответствии с Уголовным кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Кодексом законов о труде Российской Федерации и иным действующим законодательством.
К омпании часто сталкиваются с задачей организации хранения конфиденциальной информации. Сведения могут находиться в локальных сетях компании, на бумажных и иных материальных носителях, в облачных хранилищах. Отдельным вопросом становится циркулирование данных повышенной степени секретности внутри организации.
Как конфиденциальная информация определяется в законе
Конфиденциальность – это ограничение доступа к сведениям определенного статуса. Термин произошел от латинского слова confidentia, обозначающего доверие. Из этого следует, что к конфиденциальной информации могут получить доступ только доверенные сотрудники. Решения по контролю доступа реализуются на организационном и программном уровне.
В различных областях общественной и экономической жизни, в разных странах принимаются отдельные модели регулирования степени конфиденциальности информации.
В России в законе «Об информации» (149-ФЗ) общим принципом отнесения данных к конфиденциальным является обозначение этой необходимости в любом ином федеральном законе, например, в Семейном кодексе в статье о защите тайны усыновления.
Нормативный акт определяет следующие категории конфиденциальной информации:
- государственная тайна;
- служебная информация ограниченного распространения, хранимая в ИС органов государственной власти;
- коммерческая тайна;
- служебная тайна;
- профессиональная тайна;
- персональные данные граждан.
Порядок обращения с различными категориями информации, в том числе не названными прямо в законе, такими как банковская тайна и адвокатская тайна, регулируется отдельными федеральными законами. Для большинства категорий конфиденциальной информации посвященные ей законы и разработанные в соответствии с ними подзаконные нормативные акты устанавливают отдельные правила по обеспечению ее безопасности.
В Евросоюзе разработан ряд директив и соглашений, описывающих порядок доступа к конфиденциальным сведениям, многие их положения были практически без переработки включены в национальное законодательство.
Европейская Конвенция «О преступности в сфере компьютерной информации» (ETS N 185) рекомендует в национальном законодательстве определить в качестве уголовных преступлений:
- противозаконный доступ к охраняемой в соответствии с требованиями закона информации;
- неправомерный перехват данных;
- воздействие на информацию с целью ее уничтожения или изменения;
- воздействие на информационные системы.
Эти нарушения вошли в качестве преступлений в УК РФ, и их наличие стимулирует потенциальных злоумышленников отказаться от попыток похитить или повредить конфиденциальные данные. Но далеко не всех преступников можно раскрыть, поэтому регуляторы, определяющие механизмы защиты данных – Правительство РФ, ФСТЭК, Роскомнадзор, ФСБ, Центробанк, – принимают нормативные акты, регулирующие специальные правила хранения массивов данных, находящихся под защитой закона.
Еще более подробный перечень сведений, имеющих конфиденциальный характер, приводит указ президента № 188:
- персональные данные;
- тайна следствия и судопроизводства, данные, связанные с защитой судей и свидетелей;
- служебная информация госорганов;
- сведения, связанные с профессиональной деятельностью, а именно врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений;
- коммерческая тайна;
- данные о сущности изобретения, полезной модели или промышленного образца, до того, как оформляется патент или они официально публикуются.
Некоторые позиции из перечня пересекаются, поэтому не требуется обеспечения различных режимов их хранения. Достаточно соблюдения общих принципов безопасности информации, за исключением данных, для которых регулятор предлагает отдельные организационные, технические или программные меры.
Основные принципы защиты конфиденциальной информации
В организации, вне зависимости от категории конфиденциальности информации, должны применяться единые модели хранения данных, обеспечивающие базовую безопасность. Они описаны в ст. 10 закона «О коммерческой тайне» и являются доступными для любых компаний:
- определить перечень сведений конфиденциального характера и степень их конфиденциальности;
- установить ограничения порядка доступа к данным и принять стандартизированные правила предоставления прав доступа и изменения их объема;
- вести учет лиц, которые получили права доступа к сведениям по любым основаниям, например, в рамках трудовых или договорных отношений;
- установить в трудовых договорах для работников правила обращения и охраны с данных меры ответственности за утечку, а для с контрагентов (клиентов, поставщиков, провайдеров услуг) – в гражданско-правовых соглашениях;
- маркировать грифами секретности материальные носители (документы, дискеты, USB-носители), содержащие ценную информацию, с указанием данных о собственнике информации.
Программные и технические меры, обеспечивающие сохранность данных, принимаются на основе требований регулятора или исходя из предпочтений руководства компании.
Меры, по логике закона, окажутся достаточными, если обеспечено следующее:
- полная невозможность доступа к данным, относящимся к коммерческой тайне, для любого лица без выраженного согласия их собственника;
- режим коммерческой тайны не мешает использованию составляющих ее данных в бизнес-процессах.
При разработке системы защиты конфиденциальной информации следует учитывать, что современные бизнес-процессы строятся на использовании среды виртуализации, облачных технологий и одни решения должны применяться при защите данных в собственных информационных сетях, другие – при их размещении в облаке.
В информационных системах предприятия
При обработке информации в локальных сетях наибольшее внимание нужно уделять ее структурированности. Администрация организации должна четко понимать, какие именно информационные массивы относятся к конфиденциальным, в каких файлах и папках они находятся, как обеспечивается дифференциация доступа.
Навести порядок в файловой системе поможет «СёрчИнформ FileAuditor». Узнать подробнее.
При работе с документами
Документы в компании существуют в двух видах:
- бумажная версия, оригинал или копия;
- электронная версия, загруженная в информационную систему.
Для первого типа конфиденциальной информации практика выработала стандартные методы охраны данных:
- передавать бумажные носители данных только под роспись с указанием даты и цели передачи;
- проставлять на документах грифы секретности;
- создавать копии только с разрешения руководства;
- при необходимости – вносить в копии неразличимые изменения, позволяющие выявить, какой именно сотрудник осуществил утечку;
- обеспечить физическую защиту материальных носителей.
Соблюдение этих требований окажется достаточным для защиты секретных сведений. Документы, которые уже не используются в текущей работе, но содержат данные высокой степени секретности (судебные дела, личные дела сотрудников), иногда передаются в архивные компании, предоставляющие услугу аренды сейфовых ячеек. Сохранность документов обеспечивается на высоком уровне, при этом освобождаются офисные пространства компании. Но если документы содержат персональные данные, при передаче на хранение нужно установить меры ответственности за их безопасность и соблюдать все технические требования к хранилищу: учет посетителей, наличие замков, защищенные окна, полное отсутствие возможности несанкционированного доступа к данным.
В локальных сетях и облачных хранилищах
Хранение электронных документов или файлов, содержащих конфиденциальные данные, в информационных сетях сопровождается обязательным использованием комплекса мер, полностью исключающих несанкционированный доступ:
- использование программных средств, позволяющих присваивать метки конфиденциальности;
- применение программ мониторинга инцидентов информационной безопасности;
- ведение журналов учета действий пользователей, протоколирующих все операции с охраняемыми документами;
- обработка и передача информации в зашифрованном виде;
- создание структурированных баз данных, которые позволяют хранить документы с разными степенями конфиденциальности и разного назначения в разделенных ячейках.
Лицо, ответственное за организацию системы хранения конфиденциальной информации, должно в любое время знать, где и какой документ находится и кто имеет к нему доступ. Во избежание риска утраты сведений из-за повреждения системы или аварии требуется обеспечить резервное копирование, которое позволит возобновить утраченную или искаженную информацию в кратчайшие сроки.
При обработке конфиденциальной информации для ее защиты от основных угроз – утечек, утраты целостности, искажения, снижения степени доступности – организации используют ряд программных средств:
- антивирусные программы. Современные вирусы способны зашифровать или полностью уничтожить файлы, похитить данные. Антивирусы могут защитить от этих угроз;
- средства мониторинга работоспособности сети, позволяющие выявить случаи отказов узлов и программ, способных привести к утрате целостности или доступности информации;
- средства доверенной загрузки, позволяющие входить в систему только пользователям с определенным объемом привилегий;
- методы двухфакторной аутентификации, иногда с использованием технических средств – токенов;
- SIEM-системы, позволяющие выявлять инциденты информационной безопасности и оповещать о них службу безопасности;
- DLP-системы, исключающие все утечки данных, происходящие по вине инсайдеров.
Если в информационных системах обрабатываются персональные данные, требования к техническим и программным средствам защиты устанавливает регулятор. Возникают сложные ситуации, когда компания, передающая базы данных на хранение на сторонние облачные серверы, сомневается, не нарушает ли она тем самым требования законодательства о защите персональных данных.
В данном случае следует придерживаться следующих правил безопасности:
- убедиться, что облачные серверы находятся на территории РФ;
- установить, что система безопасности облачного хранилища отвечает требованиям ФСТЭК РФ. Некоторые провайдеры сертифицируют свои ИС, чем повышают качество оказываемых услуг по облачному хранению;
- заключить соглашение, в котором описать все меры ответственности, которые будут применены к провайдеру, если по его вине будет утрачена конфиденциальная информация.
Большинство профессиональных компаний, предлагающих услугу нахождения конфиденциальной информации на облачных серверах, идут навстречу пожеланиям клиента, при этом их система информационной безопасности надежнее, чем у компаний малого и среднего бизнеса.
***
Решение по выбору способа хранения – в собственной системе или у поставщика услуг – принимает администрация организации. Но она не должна забывать, что ответственность за утечку ПД будет лежать на ней, а не на провайдере.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ FILEAUDITOR»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Читайте также: