С какими документами должен познакомиться работник получивший доступ к конфиденциальной информации

Опубликовано: 26.12.2024

Один из важнейших ресурсов любого предприятия – информация. Ее роль возрастает по мере развития бизнеса и усиления конкуренции. Владение информацией необходимого качества – полной и точной – в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет тем самым высокую цену «информационного фактора».

Собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты такого рода информационных ресурсов и правила доступа к ним.

Доступ – это получение разрешения руководителя на выдачу тому или иному сотруднику конкретных сведений с учетом его служебных обязанностей.

Регламентация доступа – установление правил, определяющих порядок доступа.

Контроль доступа – процесс обеспечения достижения оптимального уровня доступа.

В целях обеспечения правомерного доступа сотрудников фирмы к конфиденциальным сведениям, содержащимся в грифованных документах, необходимо внедрить соответствующую систему доступа:

  • Составляется перечень сведений, содержащих конфиденциальную информацию, определяется ценность того или иного документа и присваивается соответствующий гриф. Перечень доводится до сведения всех сотрудников, имеющих доступ к подобной информации, под расписку об ознакомлении.
  • Затем составляется список сотрудников, допущенных к тем или иным документам.
  • Конфиденциальная информация разбивается на блоки, каждому блоку присваивается свой код, а для каждого сотрудника разрабатывается и выдается ему на руки карта-предписание с перечнем тех кодов, по которым он может получить информацию, необходимую и достаточную для нормального выполнения его должностных обязанностей.

Система доступа должна отвечать следующим требованиям:

  • распространяться на все виды классифицированных документов;
  • определять порядок доступа всех категорий сотрудников, получивших право на ознакомление и использование документов, содержащих конфиденциальную информацию;
  • определять порядок доступа к коммерческой информации представителей различных государственных служб;
  • устанавливать надлежащий порядок оформления разрешений на доступ к конфиденциальным документам;
  • регламентировать права определенных должностных лиц на оформление доступа сотрудников;
  • исключать возможность бесконтрольной и несанкционированной выдачи грифованных документов.

Лица, допущенные к сведениям конфиденциального характера, несут ответственность за соблюдение установленного в организации режима конфиденциальности.

Для получения доступа к конфиденциальным сведениям им необходимо:

  • изучить требования инструкции и других документов по защите сведений конфиденциального характера, в части их касающейся, под подпись на самом документе;
  • заключить в управлении режима договор о допуске к конфиденциальным сведениям;
  • ознакомиться под подпись с перечнями конфиденциальных сведений, и пройти у лица, ответственного за секретное или конфиденциальное делопроизводство, индивидуальный инструктаж о правилах работы с документами, имеющими гриф «Коммерческая тайна», и пройти инструктаж о правилах работы с документами, имеющими гриф «Для служебного пользования».

Инструктаж с сотрудниками, получившими доступ, преследует конкретные цели:

  • четкое знание сотрудником объемов охраняемой информации, за безопасность которой они несут личную ответственность;
  • понимание работником характера и ценности данных, с которыми он работает, возможных способов и методов проникновения к этим данным, которыми может воспользоваться потенциальный нарушитель;
  • обучение установленным правилам и процедурам хранения и защиты коммерческих сведений.

Лица, допущенные к сведениям конфиденциального характера, обязаны:

  • строго хранить в тайне конфиденциальную информацию, ставшую им известной по службе или иным путем;
  • выполнять только те работы и знакомиться только с теми документами, к которым получили доступ в силу своих служебных обязанностей, строго соблюдать правила пользования документами, знать порядок их учета и хранения;
  • лично получать и своевременно сдавать носители конфиденциальных сведений в управление режима или лицу, ответственному за конфиденциальное делопроизводство;
  • хранить носители конфиденциальной информации только в рабочей папке, а при выходе в рабочее время из помещения рабочую папку с носителями конфиденциальных сведений запирать в сейф.

Лицам, допущенным к работам с конфиденциальными сведениями, запрещается:

  • осуществлять записи, содержащие конфиденциальную информацию, на неучтенных носителях;
  • передавать конфиденциальные сведения, а также носители этих сведений лицам, не допущенным к этим сведениям и не имеющим прямого отношения к работе с ними;
  • использовать известную конфиденциальную информацию в своих целях, а также в целях нанесения ущерба предприятию;
  • оставлять на рабочих столах носители конфиденциальных сведений, в том числе их проекты, черновики, при выходе из помещения;

Соответствующая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования.

Документы, содержащие защищаемые сведения, которые не составляют государственную тайну (служебную, коммерческую, банковскую и т. д.), или содержат персональные данные, или составляют интеллектуальную собственность юридического или физического лица именуются конфиденциальными. Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите.

К конфиденциальным документам относятся следующие документы:

1) в государственных организациях – документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения, содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати;

2) в коммерческих и негосударственных организациях – документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой тайне, тайне организации, тайне мастерства и технологий;

3) независимо от принадлежности организации – документы и базы данных, фиксирующие любые персональные (личные) данные о гражданах, а также содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т. д.

Особенностью конфиденциальных документов является то, что они одновременно представляют собой:

1) массовый носитель ценной, защищаемой информации;

2) основной источник накопления и распространения этой информации, а также ее неправомерного разглашения или утечки;

3) обязательный объект защиты.

Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала организации. Период конфиденциальности документов определяют перечни конфиденциальных сведений организации, составленных исходя из специфики деятельности и утвержденных руководителем организации.

Документирование конфиденциальной информации включает определение состава внутренних и отправляемых документов и их изготовление.

Документирование конфиденциальной информации является важнейшей составной частью конфиденциального делопроизводства, поскольку от количества, состава и правильности оформления документов зависят качество и эффективность управленческой и производственной деятельности, достоверность и юридическая сила документов, трудоемкость их обработки и качество организации. Объем и характер создаваемых документов влияют и на организацию работы по их защите. Кроме того, в процессе документирования создается документальная база, раскрывающая историю организации.

Как определить состав конфиденциальных документов?

Одной из особенностей конфиденциального делопроизводства является жесткое регламентирование состава издаваемых документов. Обусловлено это тем, что документ является потенциально существующим источником утечки содержащейся в нем информации, т.е. попадания ее в руки тех, кому она не предназначена. Поэтому конфиденциальные документы должны издаваться только при действительной необходимости в письменном удостоверении наличия и содержания управленческих, производственных и иных действий. При этом решение задач конфиденциальной деятельности должно обеспечиваться минимальным количеством документов при сохранении полноты необходимой информации.

Но установление состава издаваемых конфиденциальных документов направлено не только на предотвращение необоснованного их издания и на исключение избыточной конфиденциальной информации, но определение количества их экземпляров, адресатов, которым они должны направляться, т.к. не вызванная действительной необходимостью рассылка конфиденциальных документов также приводит к утечке информации. На стадии определения состава издаваемых документов решается вопрос и о придании им необходимой юридической силы путем установления должностных лиц, которые должны визировать, подписывать и утверждать тот или другой документ. В конечном итоге регламентация состава издаваемых конфиденциальных документов преследует цель не только исключения необоснованного, но и неконтролируемого их издания.

Состав документированной конфиденциальной информации зависит от компетенции и функции организации, характера её деятельности, взаимосвязей с другими предприятиями, порядка разрешения вопросов. Такой состав закрепляется перечнями издаваемых организацией конфиденциальных документов, раздельно по документам, отнесенным к коммерческой тайне, и документам, отнесенным к служебной тайне. Но эти перечни должны разрабатываться на основе и в рамках перечней сведений, составляющих коммерческую и служебную тайну. Вызвано это тем, что по существующим нормам сначала определяются сведения, составляющие тот или другой вид тайны. Эти сведения могут быть зафиксированы как в документах, так и в других носителях: электронной базе данных (на ПЭВМ), выпускаемой продукции, технологических процессах, физических полях и др. Поэтому только после определения состава всех конфиденциальных сведений можно установить те из них, которые должны документироваться. Таким образом, определение состава издаваемых конфиденциальных документов должно начинаться с разработки перечней сведений, составляющих коммерческую и служебную тайну.

Перечень сведений, составляющих коммерческую тайну, разрабатывается для каждой организации самой организацией - обладателем информации. Это вытекает из действующего законодательства, которым установлено, что состав и объем таких сведений определяется собственником информации. Таким образом, право предпринимателя на состав коммерческой тайны является безусловным. Никто не может диктовать ему, какие сведения отно­сить к коммерческой тайне, за исключением сведений, которые не могут составлять коммерческую тайну согласно государственным нормативным актам.

Следовательно, состав сведений, относимых к коммерческой тайне, должен устанавливаться и изменяться индивидуально, на уровне их обладателя.

В целом тенденция развития коммерческой тайны направлена на сохранение значения производственной тайны, связанной с новизной и совершенствованием технологических процессов, т.е. с элементами творческой деятельности, и на падение значения тайны финансово-торговой, связанной не с элементами новизны, а с элементами индивидуальности и большей или меньшей степенью исключительности.

Правовым основанием для установления состава сведений, относимых к коммерческой тайне, являются закон, а также определение понятия «коммерческая тайна», которыми предусмотрено, что сведения, составляющие коммерческую тайну, могут быть в любой сфере предпринимательской деятельности, следовательно, коммерческая тайна может распространяться на все направления и вид деятельности организации. Разработкой перечня сведений, составляющих коммерческую тайну, в организации должна заниматься постоянно действующая экспертная комиссия (ПДЭК).

На первом этапе работы на основе анализа задач, функций, компетенции, направлений деятельности организации необходимо установить вес состав циркулирующей в организации информации, отображенной любом носителе, любым способом и в любом виде, а также с учетом перспектив развития организации и её взаимоотношений с партнерами определить характер дополнительной информации, которая может возникнуть в результате деятельности организации. Эта информация классифицируется по тематическому признаку.

На втором этапе определяется, какая из установленной информации должна быть конфиденциальной и отнесена к коммерческой тайне. Базовым критерием при этом является возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам. Этот критерий имеет как бы две составляющие: неизвестности информации третьим лицам и получение преимуществ в силу этой неизвестности. Данные составляющие взаимосвязаны и взаимообусловлены, поскольку, с одной стороны, неизвестность информации третьим лицам сама по себе ничего не значит, если не обеспечивает преимуществ с другой - преимущества можно получить только за счет такой неизвестности. Конфиденциальность является правовой формой и одновременно инструментом обеспечения неизвестности информации.

Преимущества от использования информации, не известной третьим лицам, могут состоять в получении выгоды или предотвращении ущерба иметь, в зависимости от областей и видов деятельности, экономические, моральные и другие характеристики, выражаться количественными и качественными показателями.

В сфере коммерческой деятельности ценность информации обусловлена прежде всего рыночной потребностью в информации как источнике получения прибыли, поэтому отнесение информации к коммерческой тайне позволяет получить прибыль и предотвратить убытки. Конфиденциальность такой информации создает для ее обладателя преимущества в конкурентной борьбе и выступает как средство защиты от не добросовестной конкуренции.

Названный критерий является объективным показателем возможности отнесения информации к коммерческой тайне, мерилом придания информации статуса конфиденциальной. Это означает, что при отсутствии данного критерия нет оснований для перевода информации в категорию конфиденциальной. Но это не означает, что при его наличии информация во всех случаях может и должна быть отнесена к коммерческой тайне. Законодательством введены два ограничения на отнесение информации к коммерческой тайне.

К коммерческой тайне не может быть отнесена информация, составляющая государственную тайну, и информация, которая должна быть общедоступной в целях предупреждения сокрытия правонарушений и предотвращения нанесения ущерба законным интересам государства, физических или юридических лиц. Перечни такой информации содержатся в нескольких нормативных актах: федеральном законе Российской Федерации от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (далее по тексту – Закон «О коммерческой тайне»), постановлении Правительства РСФСР от 05.12.1991 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» и др. Эти перечни в значительной мере дублируют друг друга и имеют различную правовую основу. Запрещение относить к коммерческой тайне ту или иную информацию не означает, что всю ее может получить по требованию любое юридическое или физическое лицо. Часть ее, затрагивающая законные интересы этих лиц, безусловно, должна им предоставляться, а часть предоставляется лишь соответствующим орга­нам власти, наделенным законодательством правом контроля такой информации.

Должно быть и третье ограничение, которое хотя и не предусмотрено законодательством, но диктуется здравым смыслом. Оно состоит в том, что при переводе информации в разряд коммерческой тайны необходимо учитывать сопутствующие этому затраты на ее защиту. Если эти затраты превышают достигаемые в результате защиты количественные и качественные показатели, то придание информации статуса конфиденциальной теряет всякий смысл.

После установления состава конфиденциальной информации определяется степень ее конфиденциальности. Степень конфиденциальности - это показатель уровня закрытости информации. Уровень закрытости зависит от величины ущерба, который может наступить при утечке информации. Чем больше этот ущерб, тем выше должна быть и степень конфиденциальности. В практике работы организаций применяются от одной до нескольких степеней конфиденциальности информации с различными их наименованиями. Наиболее распространенным является деление информации на две степени: конфиденциально и строго конфиденциально. Однако Законом «О коммерческой тайне» установлена одна степень конфиденциальности с названием «Коммерческая тайна», свидетельствующая лишь о принадлежности информации к коммерческой тайне. В Законе это названо не степенью, а грифом коммерческой тайны, но суть дела от этого не меняется, поскольку, по определению, гриф конфиденциальности - это реквизит, свидетельствующий о степени конфиденциальности сведений, содержащихся в их носителе, проставляемый на самомносителе и (или) в сопроводительной документации на него. Наименование грифа должно соответствовать наименованию степени конфиденциальности.

Установление одной степени (одного грифа) конфиденциальности информации, составляющей коммерческую тайну, обусловлено, вероятно, тем, что степень конфиденциальности определя­ется собственниками информации, которые могут иметь (а зачастую так и бывает) разные подходы к степени конфиденциальности однотипной по содержательной чести информации. В этом случае при рассмотрении в судебном порядке дел о неправомерном получении коммерческой тайны сложно определить, кто из собственни­ков установил правильную степень конфиденциальности информации, т.к. критерии отнесения информации к той или другой степени конфиденциальности выбирает ее собственник.

При существенном изменении состава сведений перечень должен составляться заново. Об изменениях в составе коммерческой тай­ны обладатель информации обязан в письменной форме известить конфидентов данной информации.

Перечень сведений, составляющих коммерческую тайну, раскрывает тематическое содержание включенных в него сведений. Но эти сведения, как уже отмечалось, фиксируются в различном виде на различных носителях и могут быть как документированными, так и недокументированными.

В сферу конфиденциального делопроизводства входит только документированная информация (документы), поэтому из всей совокупности информации, включенной в перечень сведений, отнесенных к коммерческой тайне, нужно выделить состав документируемой информации и установить виды документов, в которых она должна быть зафиксирована. Определение состава конфиденциальных документов должно осуществляться также ПДЭК. При этом следует руководствоваться определенными критериями документирования информации. К ним относятся:

  • необходимость документированной информации для правового обеспечения деятельности организации, регламентирующей статус организации, права, обязанности и ответственность её работников;
  • необходимость документированной информации для производственной деятельности: научно-исследовательской, конструкторской, проектной, технологической и др.;
  • необходимость документированной информации для управленческой деятельности;
  • необходимость документированной информации как доказательного источника на случаи возникновения конфликтных ситуаций;
  • необходимость передачи информации в официальном виде;
  • важность информации как исторического источника, раскрывающего направления и особенности деятельности организации.

Дополнения и изменения состава включенных в перечень сведений, а также изменение их степени их конфиденциальности могут осуществляться с разрешения руководителя организации и вноситься в перечень за подписями руководителя подразделения по принадлежности сведений и руководителя службы безопасности.

В рамках критериев документирования определение состава документируемой информации должно увязываться с решением конкретных задач. В зависимости от назначения документируемой информации определяются конкретные виды документов, в которых эта информация должна быть зафиксирована.

В процессе определения необходимых конфиденциальных документов следует проводить работу по сокращению их количества за счет разработки интегральных документов, в которые можно включить показатели нескольких документов, в том числе путем замены разовых первичных документов накопительными. Однако объединение документов осуществляться с таким расчетом, чтобы в итоге не создавалась возможность необоснованного ознакомления со всем документом лиц имеющих доступ только к части содержания (показателей) документа.

Виды конфиденциальных документов необходимо устанавливать с учетом оптимального объема содержащейся в них информации, исключающего избыточную, в том числе дублетную информацию, поскольку избыточная информация - это конфиденциальные данные, утечка которых может нанести ущерб организации.

После установления состава документов определяются круг лиц, имеющих право составлять, визировать и подписывать (утверждать) тот или другой вид документа, а также организации, которым данный документ должен направляться.

Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных лежит в основе режима конфиденциальности проводимых фирмой работ.

Любой режим базируется на разрешительной системе, которая предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий.

Таким образом, разрешительная система доступа к конфиденциальным документам представляет собой совокупность установленных руководством предприятия нормативных положений, обеспечивающих обоснованный и правомерный доступ пользователей к необходимому им для выполнения служебных обязанностей объему конфиденциальных документов. Этой системой должно быть четко и однозначно определено: кто, кого и к каким сведениям, когда и как допускает.

Всю конфиденциальную информацию о фирме может знать только первый руководитель организации. Конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя или руководители структурных подразделений.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам и пользователям, которым эта информация необходима для работы. Это дает возможность разделить знание элементов конфиденциальной информации среди как можно большего числа сотрудников с целью, чтобы целиком идею не знал никто.

Разрешительная система допуска к конфиденциальным документам решает следующие задачи:

- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами;
- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
- обеспечение сотрудника всем необходимым для выполнения своих служебных функций;
- исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;
- рациональное размещение рабочих мест и коллективный контроль над работой сотрудников.

Разрешительная система как бы подразделяется на две составные части:

- допуск сотрудника к конфиденциальной информации;
- непосредственный доступ сотрудника к конкретным сведениям.

Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям ограниченного распространения. Оформление допуска – согласие лица на определенные ограничения в использовании информации - всегда носит добровольный характер. А само наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.

Подготовка материалов на граждан, оформляемых на допуск к конфиденциальным документам, осуществляется отделами кадров или работниками, ведущими кадровую работу.

На каждого сотрудника отдел кадров представляет в подразделение по защите конфиденциальных сведений следующие документы:
- мотивированное письмо о необходимости оформления допуска, в котором указывается должность сотрудника, ее порядковый номер, количество лиц, допущенных по данной должности к конфиденциальным сведениям, дата окончания проверочных мероприятий, дается оценка о допуске;
- анкета;
- карточка, зарегистрированная в журнале учета карточек на допуск работников к конфиденциальным материалам.

На сотрудников, оформленных на допуск по третьей форме, кадровым отделом составляются общие списки лиц или списки по каждому лицу отдельно. Карточки этих сотрудников хранятся в подразделении по защите конфиденциальных сведений вместе с договором об оформлении допуска в специальной картотеке. В карточке также указывается номер списка и дата утверждения руководителем этого списка, они заверяются подписью руководителя, его печатью и регистрируются в журнале учета карточек. Кстати, сама карточка с момента заполнения является конфиденциальным документом и уничтожается так же, как и списки, по истечении одного года после увольнения сотрудника.

Конечной инстанцией, решающей вопрос о необходимости предоставления допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль. Решение о допуске оформляется распоряжением руководителя организации с соответствующей отметкой в карточке (либо в списке лиц) и заверяется его подписью и печатью организации.

Разрешение на допуск и доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком – разрешением на обложке дела, списком ознакомления с документами и т.п.

Таким образом, руководители несут персональную ответственность за правильность выдаваемых ими разрешений на допуск, а также доступ к конфиденциальным сведениям.

К конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.

Если сотрудник допускается только к части документа, то в разрешении (резолюции) указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться.

Разрешение на допуск к конфиденциальным сведениям представителя другой организации оформляется резолюцией полномочного должностного лица на предписании, представленном заинтересованным лицом. В этой резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ.

А также указывается фамилия сотрудника фирмы, который ознакомит представителя другой организации с этими сведениями и несет ответственность за его работу в помещении фирмы.

Сотрудники органов государственной власти, иных государственных органов и органов местного самоуправления имеют право на допуск к коммерческой тайне в пределах компетенций, определенных для этих органов законодательством Российской Федерации. Таким образом, организации, обладающие коммерческой тайной, обязаны не только знакомить сотрудников таких органов с конфиденциальными документами, но и предоставлять документы в распоряжение этих органов в случаях, установленных законодательством. При этом названные органы обязаны обеспечить охрану полученных ими документов от разглашения и неправомерного использования, а также несут перед обладателем документов гражданско-правовую ответственность. Без дополнительного разрешения допускаются к документам:

- лица, визировавшие, подписавшие и утвердившие документ;

- лица, указанные в тексте документа.

Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.

Переоформление допуска, независимо от сроков действия, производится в случае:

- перевода сотрудника в подразделение по защите конфиденциальных сведений;
- вступления гражданина в брак - изменения фамилии (в этом случае делается соответствующая отметка в карточке);
- возвращения из длительных заграничных командировок;
- выезда близких родственников на ПМЖ за границу.

Отдел кадров обязан своевременно информировать обо всех изменениях в анкетных данных сотрудников для решения вопроса о целесообразности переоформления им допуска.

В случае если лицо после оформления ему допуска не соприкасалось свыше года с конфиденциальными сведениями, действие допуска прекращается. (При этом договоры и карточки хранятся в течение установленного срока (1-я и 2-я форма – год, 3-я форма – не менее пяти лет).

Уничтожение карточек и договоров осуществляется по акту, который утверждается заместителем руководителя или самим руководителем организации, их копии направляются в орган безопасности и осуществляются заключительные проверочные мероприятия.

Возникающая практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом документов и сведений называется доступом.

Санкция на доступ может быть дана при соблюдении следующих условий:

1. Наличие подписанного приказа первого руководителя о приеме на работу или назначении на должность, в функциональную структуру которой входит работа с данной, конкретной информацией.

2. Наличие подписанного сторонами трудового договора, имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты.

3. Соответствие функциональных обязанностей сотрудника передаваемым ему документам информации.

4. Ознакомление и знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы.

5. Наличие необходимых условий в офисе для работы и наличие систем контроля над работой сотрудника.

Процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной организации, и с этого момента уже большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения. На этом этапе важно соблюдать правило, по которому обязательно должны регистрироваться все лица, имеющие доступ к определенным документам, так как это позволит на высоком уровне осуществить работы по выявлению возможных каналов утраты информации.

Основные личные качества, которыми должен обладать потенциальный работник, связанный с конфиденциальной информацией:

Нужно ли вынимать документы из папок перед уничтожением?
Нет, не нужно! Перед тем, как документам попасть в шредер, они проходят через пункт сортировки, где документы вынимаются из файлов и отделяются от папок "корона".

Какая скорость шредирования документов?
Наши шредеры уничтожают от 3 тонн документов в час!

Может ли представитель нашей организации наблюдать за процессом уничтожения документов?
Да, без проблем!

Кто в организации несет ответственность за организацию уничтожения документации?
Ответственность за организацию уничтожения документов организации, возлагается на ее руководителя.

На основании каких документов можно списывать документы на уничтожение?
Документы уничтожаются на основании акта о выделении документов к уничтожению, данный акт могут составить наши специалисты.

Можем ли мы сами доставить документы на Ваш пункт уничтожения?
Конечно, при этом стоимость уничтожения документов будет снижена.

Каким образом происходит сжигание документов?
Сжигание документов производится в печах с вихревым кипящим слоем инертного материала – кварцевого песка при температуре более 800 градусов.

Что нужно делать с документами организации после ее ликвидации?
После ликвидации организации, документы по личному составу (75 лет хранения), в обязательном порядке должны быть переданы в архив на государственное хранение.

На ком лежит ответственность по организации и передачи документов в архив на государственное хранение при банкротстве предприятия?
При банкротстве предприятия, ответственность по сдаче документов в архив на государственное хранение лежит на конкурсном управляющем. Конкурсный управляющий может привлечь архивную компанию для архивной обработке и передачи документов в архив на государственное хранение.

Какой документ подтверждает передачу документов в архив на государственное хранение?
Договор с государственным архивом о передаче документов на хранение и акт приема передачи документов на государственное хранение. Во время конкурсного производства, предъявляется акт приема передачи документов на государственное хранение.

Кем должен быть выдан акта о приеме документов на государственное хранение?
Акт о приеме передаче документов на хранение в государственный архив, выдается непосредственно в том государственном архиве, куда были сданы документы.

Когда необходимо начинать готовить документы для передачи в государственный архив?
Процесс передачи документов на государственное хранение дело не быстрое и иногда может достигать от одного месяца до года, именно по этому проводить архивную обработку документов желательно ежегодно, однако если так получилось, что архивом в организации никто не занимался, следует обратиться в архивную компанию в самом начале процесса ликвидации или банкротства. Более того, не стоит забывать мудрую пословицу - Порядок в документах, порядок в делах!

Мы хотим сдать документы на государственное хранение, какие документы нам необходимо подготовить для Ваших специалистов?
Наши специалисты проведут полистную экспертизу ценности документов, после чего будут отобраны документы, подлежащие обязательной передаче в архив на государственное хранение.

Уничтожение документов

Инструкция по обеспечению сохранности конфиденциальной информации

Инструкция по обеспечению сохранности конфиденциальной
информации
Оглавление:

  1. Общие положения.
  2. Порядок работы с конфиденциальной информацией, представленной в электронном виде.
  3. Определение конфиденциальной информации и обозначение бумажных документов, содержащих конфиденциальную информацию, и сроков ее защиты.
  4. Организация работы с бумажными документами, имеющих гриф «Конфиденциально».
  5. Порядок обеспечения сохранности документов и дел (архивов), содержащих конфиденциальную информацию.

Порядок допуска к конфиденциальным сведениям.

  1. Контроль за выполнением требований внутри объектового режима при работе с конфиденциальными сведениями.
  2. Обязанности сотрудников Организации, работающих с конфиденциальными сведениями и их ответственность за ее разглашение.

1. Общие положения

  1. доведение до сведения неуполномоченных лиц в устной, письменной, электронной или иной форме конфиденциальную информацию. Указанный факт может наступить в результате умысла сотрудника или по неосторожности, включая халатное отношение к своим обязанностям;
  2. использование конфиденциальной информации в процессе выполнения работы для другого предприятия, учреждения и организации или по заданию физического лица, иного субъекта предпринимательской деятельности без образования юридического лица;
  3. использование конфиденциальной информации в научной и педагогической деятельности;
  4. использование конфиденциальной информации в личных целях, не связанных с выполнением должностных обязанностей в Организации;
  5. использование конфиденциальной информации в ходе публичных выступлений, интервью и т.п.;
  6. иные действия сотрудника, в результате которых конфиденциальная информация, стала известна неуполномоченным лицам.

1.4. Не считаются разглашением конфиденциальной информации действия сотрудника, указанные в п.1.3. настоящей Инструкции, совершенные им в порядке и в случаях, предусмотренных законодательством Российской Федерации, во исполнение нормативных актов Организации или договоров (соглашений) Организации с иными организациями или физическими лицами. Не считаются разглашением конфиденциальной информации действия сотрудника, совершенные им при наличии письменного разрешения или иного указания руководства Организации.
1.5. Меры по ограничению открытых публикаций конфиденциальной информации не могут быть использованы для сокрытия информации, связанной с:

  1. учредительными документами организации;
  2. документами, дающими право заниматься предпринимательской деятельностью (регистрационными удостоверениями, лицензиями, патентами и т.д.);
  3. сведениями о финансово-хо­зяйственной деятельности и иными сведениями, необходимыми для про­верки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему;
  4. документами о платежеспособности;
  5. сведениями о численности, составе работающих, их заработной пла­те и усло­виях труда, а также о наличии свободных рабочих мест;
  6. документами об уплате налогов и обязательных платежей;
  7. сведениями о загрязнении окружающей среды;
  8. сведениями о нарушении антимо­нопольного законодательства;
  9. сведениями о несоблюдении безопасных условий труда;
  10. сведениями о реализации продукции, причиняющей вред здоровью насе­ления.

Данные ограничения связаны с постановлением Правительства РСФСР от 5 декабря 1991 года № 35, определяющего сведения, которые не могут составлять коммерческую тайну организации. В соответствии с Указом Президента Российской Федерации от 6 марта 1997 года № 188 “Об утверждении перечня сведений конфиденциального характера” коммерческая тайна организации является частным случаем конфиденциальной информации.
1.6. Предоставление конфиденциальной информации представителям контрольных, ревизионных, фискальных и следственных органов, народным депутатам, органам печати, радио, телевидения и т.п. допускается только с разрешения руководителя Организации.

1.7. Защита конфиденциальной информации предусматривает:

  1. определение конфиденциальной информации, и сроков ее защиты;
  2. систему допуска сотрудников Организации, частных и командированных лиц к конфиденциальной информации;
  3. обязанности лиц, допущенных к конфиденциальной информации;
  4. порядок работы с бумажными документами, содержащими конфиденциальную информацию;
  5. порядок работы с электронными документами, содержащими конфиденциальную информацию;
  6. обеспечение сохранности документов и дел (архивов) содержащих конфиденциальную информацию;
  7. принципы организации и проведения контроля за обеспечением установленного порядка при работе с конфиденциальной информацией;
  8. ответственность за разглашение конфиденциальной информации и утрату документов, содержащих конфиденциальную информацию.

2. Порядок работы с конфиденциальной информацией, представленной в электронном виде

2.1. Хранение, работа и архивирование любых электронных конфиденциальных документов (файлов) должно осуществляться с учётом требования ограничения несанкционированного доступа к ним третьих лиц способами, оговоренными настоящим разделом данной Инструкции.
2.2. Все персональные компьютеры, установленные на рабочих местах сотрудников, подключены к защищенной корпоративной компьютерной сети Организации (далее – сеть).
2.3. Каждый персональный компьютер оснащён стандартным набором программных средств, принятых для эксплуатации в Организации. Любые изменения в оснащении персонального компьютера, подключённых к сети, должны быть санкционированы руководством структурного подразделения, согласованы с администратором сети и осуществлены уполномоченными специалистами Организации.
2.4. Вся конфиденциальная информация, имеющаяся в распоряжении сотрудника, должна храниться и обрабатываться на корпоративном файл-сервере Организации.
2.5. Первичный допуск сотрудника к работе на персональном компьютере, включенного в сеть осуществляется системным администратором сети по указанию руководства соответствующего структурного подразделения и включает в себя:

  1. ознакомление сотрудника с настоящей Инструкцией под роспись;
  2. инструктаж по порядку работы с программными средствами, принятыми для эксплуатации в Организации;
  3. получение сотрудником персонального ключа для шифрования данных;
  4. получение сотрудником персонального пароля для доступа к ресурсам корпоративного сервера и локальной вычислительной сети;
  5. получение адреса персонального почтового ящика корпоративной почты;
  6. получение внутреннего персонального ICQ номера.

2.6. Сотрудник, допущенный к работе с персональным компьютером, получает доступ:

  1. к персональному разделу на корпоративном файл-сервере («Личная» папка) для хранения и обработки электронных конфиденциальных документов (файлов) с предоставленной в его распоряжение для выполнения поставленных перед ним задач;
  2. к разделу с открытыми ключами сотрудников Организации;
  3. к персональному почтовому ящику корпоративной почты.

2.7. Все электронные конфиденциальные документы (файлы), должны храниться на корпоративном сервере одним из возможных способов:

2.8. Все новые электронные конфиденциальные документы (файлы) должны создаваться только на файл-сервере в личной папке сотрудника.
2.9. Работа с электронными конфиденциальными документами (файлами), допускается только при условии расположения этих документов (файлов) на сервере способами оговоренными п.2.7.
2.10. В каждый конкретный момент времени в течение рабочего дня загруженными в персональный компьютер сотрудника должны быть только те электронные конфиденциальные документы (файлы), которые имеют непосредственное отношение к тому делу, которым занимается сотрудник в данный момент времени. При этом все другие конфиденциальные документы (файлы), должны находиться на сервере в виде согласно п.2.7.
2.11. Загрузка (открытие), сверх действительно необходимого количества, электронных конфиденциальных документов (файлов) на персональных компьютерах сотрудников запрещается.
2.12. В течение рабочего дня ставшие ненужными в текущей работе (отработанные) электронные конфиденциальные документы (файлы) подлежат незамедлительному закрытию (сохранению на файл-сервер).
2.13. С целью недопущения переполнения сетевых дисков, выявленные в течение дня ненужные файлы (старые версии файлов и т.д.) подлежат безусловному незамедлительному уничтожению.
2.14. Уничтожение электронных конфиденциальных документов (файлов) с сетевых дисков корпоративного файл-сервера осуществляется стандартными средствами операционной системы – команда «Удалить» контекстного меню. Уничтожение электронных конфиденциальных документов (файлов) с любых иных носителей должно осуществляться только с помощью утилиты Wipe специально предназначенной для уничтожения файлов без возможности их последующего восстановления.
2.15. Обмен электронными конфиденциальными документами (файлами) между сотрудниками находящимися в офисе осуществляется в зашифрованном виде одним из способов:

  1. используя сервис программы ICQ;
  2. используя сервис корпоративной почты.

2.20. Сотрудник, работающий с электронными конфиденциальными документами (файлами) обязан:

  1. выполнять требования администратора сети в рамках установленного регламента эксплуатации сети и требований настоящей Инструкции (технический перерыв, устранение выявленных нарушений хранения/обработки данных, профилактические работы на оборудовании сети). Несоблюдение требований настоящего пункта может привести к необратимой потере данных, ответственность за которую возлагается на самих сотрудников.
  2. при убытии в отпуск/командировку предоставить имеющиеся у него конфиденциальные электронные документы (файлы), которые могут понадобиться в его отсутствие (определяется руководителем), в распоряжение уполномоченного руководителем сотрудника в зашифрованном на открытом ключе этого сотрудника виде;
  3. ежедневно в конце рабочего дня производить «зачистку» локального диска своего персонального компьютера путём запуска соответствующей процедуры (ярлык «До свидания!» на рабочем столе Windows);
  4. еженедельно производить ревизию своей личной папки, размещённой на корпоративном файл-сервере, с целью выявления и уничтожения конфиденциальных электронных документов (файлов) ставших ненужными.

3. Определение конфиденциальной информации и обозначение бумажных документов, содержащих конфиденциальную информацию, и сроков ее защиты

4. Организация работы с бумажными документами, имеющих гриф «Конфиденциально»

5. Порядок обеспечения сохранности документов и дел (архивов), содержащих конфиденциальную информацию

7. Контроль за выполнением требований внутри объектового режиа при работе с конфиденциальными сведениями

8. Обязанности сотрудников Организации, работающих с конфиденциальными сведениями и их ответственность за ее разглашение

8.1. Сотрудники организации, допущенные к конфиденциальными сведениям, несут ответственность за точное выполнение требований, предъявляемых к ним в целях обеспечения сохранности указанных сведений.
8.2. До получения доступа к работе, связанной с конфиденциальной информацией, им необходимо изучить настоящую Инструкцию под роспись и заключить письменное обязательство о сохранении конфиденциальной информации, оформленное в виде договора.
8.3. Сотрудники организации, допущенные к конфиденциальной информации должны:

  1. знать и соблюдать требования настоящей Инструкции;
  2. хранить конфиденциальную информацию, в том числе не сообщать конфиденциальные сведения друзьям и членам своей семьи. О ставших им известной утечке сведений, составляющих конфиденциальную информацию, а также об утрате документов с грифом «Конфиденциально», немедленно сообщать своему руководителю структурного подразделения и в Службу безопасности;
  3. предъявлять для проверки по требованию комиссии по проверке конфиденциального делопроизводства и представителей Службы безопасности все числящиеся за ним материалы, содержащие конфиденциальную информацию, а в случае нарушения установленных правил работы с ними представлять соответствующие объяснения в устном и письменном виде;
  4. знакомиться только с теми документами и выполнять только те работы, к которым они допущены в соответствии с функциональными обязанностями и в соответствии с дополнительными задачами, возложенными на них руководством;
  5. строго соблюдать правила пользования и сохранности документов, имеющих гриф «Конфиденциально». Не допускать их необоснованной рассылки;
  6. выполнять требования внутри объектного режима, определяемые Службой безопасности, исключающие возможность ознакомления с материалами, содержащими конфиденциальную информацию, посторонних лиц, включая и сотрудников организации, не имеющих к указанным материалам прямого отношения.
  7. при ведении деловых переговоров с представителями сторонних организаций или частными лицами ограничиваться выдачей минимальной информации, действительно необходимой для их успешного завершения;
  8. при временном убытии (в отпуск, командировку, на учебу, лечение и т.д.) проверять наличие числящихся за ним конфиденциальных документов. Документы, которые подлежат исполнению или могут потребоваться в работе, передавать другому сотруднику по указанию руководства организации или руководства структурного подразделения. При прекращении трудовых или иных договорных отношений с Организацией, сотрудник обязан сдать все числящиеся за ним конфиденциальные документы;
  9. исключить использование конфиденциальных сведений в свою личную пользу, а также исключить деятельность, которая может быть использована конкурентами в ущерб организации.

8.4. Ответственность за разглашение конфиденциальных сведений, и утрату документов, содержащих такие сведения устанавливается в соответствии с Уголовным кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Кодексом законов о труде Российской Федерации и иным действующим законодательством.

Варвара Смирнова

Трудовой кодекс РФ устанавливает лишь общие нормы трудового права, предоставляя работодателям возможность уточнять и детализировать порядок взаимоотношений с сотрудниками с помощью внутренних документов. Один из них — Положение о коммерческой тайне — нацелен на защиту сведений, напрямую влияющих на доход организации.

Что такое «коммерческая тайна»

Понятие коммерческой тайны определяется Федеральным законом № 98-ФЗ от 29.07.2004 как режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Как видно из определения, закон не устанавливает перечень конкретных сведений, относящихся к коммерческой тайне, а лишь называет некоторые критерии такого рода сведений. Согласно закону № 98-ФЗ, к коммерческой тайне может быть отнесена информация, которая:

  • имеет действительную или потенциальную ценность (может прямым или косвенным образом влиять на прибыль или убытки);
  • неизвестна третьим лицам;
  • недоступна на законном основании.

Стоит обратить внимание на то, что права обладателя информации, представляющей коммерческую тайну, возникают с момента установления для нее режима коммерческой тайны. Зачастую с этой целью организации разрабатывают локальный нормативный акт — Положение о коммерческой тайне.

Что включить в структуру документа

Законодательство строго не указывает, какими должны быть форма и содержание документа. Организация вправе сама определять нюансы отношений с работником, которые стоит внести в Положение. При этом работодатель должен учитывать требования ст. 10 Федерального закона № 98-ФЗ от 29.07.2004. Статья указывает меры, которые следует реализовать в отношении конфиденциальных сведений, а значит, они должны найти свое отражение в Положении о режиме коммерческой тайне.

Итак, меры по охране конфиденциальности информации:

  • определить перечень «секретной» информации и порядок отнесения/исключения тех или иных сведений к разряду конфиденциальных;
  • ограничить доступ к «секретной» информации, установить порядок обращения с ней и меры контроля;
  • определить список лиц, которым будет дан доступ к конфиденциальной информации;
  • регулировать отношения с работниками и контрагентами в части информации, составляющей коммерческую тайну;
  • нанести гриф «Коммерческая тайна» на материальные носители, содержащие конфиденциальную информацию, или включить этот гриф в состав реквизитов документов, содержащих такую информацию.

Печатайте Соглашение о неразглашении коммерческой тайны прямо из программы Контур-Персонал.

С учетом этих требований структура документа может выглядеть следующим образом:

1. Общие положения. Данный раздел содержит перечень основных понятий, определяет цель и значимость его составления. В него должны быть включены:

1.1. Основные термины и определения.

1.2. Сведения об организации и ее руководителе.

1.3. Сведения о структурном подразделении, ответственном за защиту информации.

1.4. Законодательные акты, на которые опирается организация в работе с коммерческой тайной.

2. Порядок отнесения сведений к коммерческой тайне. В этом разделе следует указать:

2.1. Список сведений, составляющих коммерческую тайну, с уточнением сроков ограничения доступа. Чаще всего список оформляют приложением к Положению.

2.2. Порядок присвоения и снятия грифа конфиденциальности.

3. Порядок использования информации, составляющей коммерческую тайну. Данный раздел описывает порядок предоставления, обращения и прекращения доступа к сведениям, составляющим коммерческую тайну.

4. Обязанности сотрудников, получивших доступ к сведениям, составляющим коммерческую тайну. Тут следует указать порядок регулирования отношений с сотрудниками, ответственность за несоблюдение мер безопасности или разглашение конфиденциальных сведений. Раздел определяет роли и ответственность лиц/подразделений, которые реализуют режим коммерческой тайны, например подразделения физической и информационной безопасности.

5. Обеспечение безопасности конфиденциальной информации. Раздел устанавливает порядок применения необходимых средств и методов защиты сведений, составляющих коммерческую тайну.

6. Заключительные положения. В разделе указывается порядок утверждения Положения и приложения к нему, алгоритм внесения изменений, порядок решения спорных вопросов или иные моменты, не включенные в основную часть документа.

Структура Положения о коммерческой тайне не ограничена, работодатель может вынести некоторые позиции в отдельный раздел, например, перечень сотрудников, имеющих доступ к конфиденциальной информации в случа, когда документ распространяется не на весь штат организации, а на какое-то из подразделений или несколько сотрудников.

Важно! Получить доступ к конфиденциальным сведениям организации имеют право правоохранители, налоговики и прокуратура, но только по решению суда.

Как составить приложение к Положению

В крупных коммерческих и производственных организациях список сведений, относимых к коммерческой тайне, может быть очень объемным. В таких случаях его оформляют приложением к Положению о коммерческой тайне. В перечень охраняемых сведений может быть включена производственная, научно-техническая или технологическая информация, данные о разработках или исследованиях предприятия и пр. Часто к коммерческой тайне относят сведения финансово-экономического характера, например информацию о применяемых оригинальных методах управления, планах расширения географии присутствия или увеличения объемов продаж, планируемых инвестициях или ценные данные о конкурентах.

К конфиденциальной может быть отнесена та информация, что представляет потенциальный коммерческий интерес. Впрочем, есть сведения, которые никак не могут составлять коммерческую тайну организации (ст. 5 Федерального закона № 98-ФЗ «О коммерческой тайне»):

  • сведения из учредительных документов юридического лица и документов, которые подтверждают право на предпринимательскую деятельность;
  • данные об имуществе государственного или муниципального унитарного предприятия/учреждения и об использовании ими средств соответствующих бюджетов;
  • сведения об активах и пассивах, имуществе, численности сотрудников некоммерческих организаций;
  • данные о размере штата, составе работников, о системе оплаты труда, об условиях работы, наличии вакансий и пр.;
  • список лиц, которые могут действовать от имени юридического лица без доверенности;
  • данные о задолженности работодателя перед сотрудниками по заработной плате и/или иным выплатам социального характера;
  • информация о влиянии предприятия на окружающую среду, факторах, оказывающих негативное воздействие и представляющих определенные риски для безопасности каждого гражданина и населения в целом;
  • факты нарушения законодательства, меры ответственности, примененные к организации за эти нарушения;
  • информация об условиях проводимых конкурсов или аукционов по приватизации объектов государственной/муниципальной собственности;
  • иные сведения, раскрытие которых регламентировано иными федеральными законами.

Для каждого из видов информации, причисляемой к коммерческой тайне, следует указать срок действия установленного режима: постоянно, до публикации сведений в открытых источниках, в течение срока действия документа, до окончания срока исковой давности по договору и пр.

Обязательно ли соглашение о неразглашении

Это еще один обязательный документ при работе с конфиденциальной информацией. Он оформляется как дополнение к трудовому договору. Сотрудник, чья работа не связана непосредственно с доступом к сведениям конфиденциального характера, Соглашение о неразглашении подписывает на добровольной основе (п. 2 ст. 11 Федерального закона № 98-ФЗ). Сотрудники, которым доступ к такой информации необходим для выполнения трудовых функций, обязаны не только подписать Соглашение, но и пройти соответствующий инструктаж.

Утвержденного образца соглашения законодательство не предлагает, документ чаще всего определяет порядок допуска работника до информации, составляющей коммерческую тайну, меры ответственности в случае нарушения соглашения и пр. Документ подписывается сотрудником при поступлении на работу, а иногда — при назначении на новую должность или изменении трудовых функций и пр.

Подписывая Соглашение, сотрудник дает согласие на доступ к информации, составляющей коммерческую тайну организации, обязуется выполнять требования Положения, подтверждает знание мер безопасности, принятых в организации, и последствий, которые могут наступить для сотрудника в случае разглашения коммерческой тайны. В Соглашении также оговаривается срок действия ограничительного режима для данного сотрудника.

Кто составляет и утверждает Положение

Документ затрагивает сразу несколько сфер деятельности организации, поэтому в его разработке в зависимости от штата организации участвуют представители нескольких отделов: экономического отдела, юридической службы, отдела кадров, службы безопасности и др. Принимает Положение (и приложение к нему) руководитель или коллегиальный орган. Штамп с подписями, датой утверждения и номером протокола должен появиться на титульном листе документа.

Принятые Положением нормы следует отразить и в других документах организации: в уставе предприятия, коллективном договоре, должностных инструкциях, правилах внутреннего трудового распорядка.

И не забудьте под роспись ознакомить с Положением о коммерческой тайне всех сотрудников, кто подпадает под действие документа, это обезопасит вас от возможной утечки ценной информации.

Материал подготовлен в сотрудничестве с экспертами компании СКБ Контур Максимом Малкиевым, Андреем Нестеровым, Максимом Войциком.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Читайте также: