Текст книги "Тайна предприятия: что и как защищать"
Автор книги: Игорь Чумарин
Жанр:
Современная проза
сообщить о нарушении
Текущая страница: 7 (всего у книги 10 страниц)
ПОЛОЖЕНИЕ О КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ПРЕДПРИЯТИЯ
Формат всех документов, регулирующих защиту конфиденциальной информации, утверждается приказом руководителя. Положение является основным документом предприятия, регламентирующим вопросы оборота конфиденциальной информации. Все базовые моменты, связанные с этим процессом, закладываются именно здесь.
Обратите, пожалуйста, внимание на то. что здесь и далее приведены авторские варианты регламентирующей документации. Разумеется, каждое предприятие вправе использовать любую свою форму таких документов.
Вариант.
1. Общие положения.
1.1. Данное Положение является базовым документом, регламентирующим процесс обращения конфиденциальной информации на предприятии.
1.2. Определения.
Конфиденциальная информация – документированная информация, содержащая коммерческую тайну, персональные данные и иную охраняемую законом тайну, а также любые документы, содержащие гриф степени конфиденциальности.
Коммерческая тайна – информация:
– имеющая действительную или потенциальную коммерческую ценность для Предприятия в силу неизвестности ее третьим лицам, утечка которой может привести к
ущербу;
– не являющаяся общеизвестной или доступной на законном основании;
– помеченная соответствующим образом;
– в отношении которой осуществляются необходимые меры по сохранению и защите конфиденциальности.
Конфиденциальный документ – зафиксированная и определенным образом оформленная на бумаге или содержащаяся в файлах и подчиняющаяся особому делопроизводству конфиденциальная информация, имеющая реквизиты или другие признаки, позволяющие идентифицировать принадлежность документа к предприятию или его деятельности.
2. Степени конфиденциальности.
Устанавливается три степени (статуса) конфиденциальности документов: первая – особо секретно, вторая – секретно, третья – для служебного пользования. Степень секретности указывается при создании документа ____________________ (где).
3. Допуск к работе с конфиденциальными документами.
Допуск к работе с конфиденциальными документами получают сотрудники Предприятия, в том числе и находящиеся на
испытательном сроке, которые: 1) ознакомлены под роспись с настоящим Положением: 2) ознакомлены под роспись с Инструкцией по защите конфиденциальной информации в информационной системе предприятия; 3) подписали Соглашение о неразглашении конфиденциальной информации;
4) занимают должности, указанные в Перечне документов Предприятия, содержащих конфиденциальную информацию. Запрещается допускать к работе с конфиденциальными документами других лиц. кем бы они не являлись, без письменного разрешения генерального директора.
Конфиденциальные документы по статусу, типу документа, параметрам допуска систематизированы в «Перечне документов Предприятия, содержащих конфиденциальную информацию», являющемся неотъемлемым приложением к данному Положению.
4. Доступ к носителям конфиденциальной информации.
Концепция доступа к конфиденциальным документам является принципиально ограничительной и регламентируется кроме данного Положения также условиями использования имеющейся системы физической охраны и защиты, технических систем контроля и ограничения доступа.
Все сотрудники, имеющие допуск для работы с конфиденциальными документами, и воспользовавшиеся ими, должны быть зарегистрированы; для подразделений, где все сотрудники в силу служебной необходимости должны иметь постоянный доступ к работе с конфиденциальными документами, порядок регистрации определяет генеральный директор.
Регистрация осуществляется ____________________
(кем) в ____________________ (где) при идентификации допуска к работе с документом. За правильную организацию и соблюдение порядка доступа отвечает ____________________ (кто).
5. Создание конфиденциальных документов.
Содержащими конфиденциальную информацию изначально являются и соответственно грифуются при создании указанные в Перечне формы базовой и регламентирующей служебной документации, а также переписка. Считается созданием также заполнение формализованных документов, имеющих гриф степени секретности.
Любой документ, являющийся при написании конфиденциальным, создается лично или под непосредственным наблюдением руководителя подразделения. При использовании черновиков после завершения работы над конфиденциальным документом они должны быть уничтожены либо сданы для уничтожения. При возникновении сомнений относительно статуса конфиденциальности документа руководитель подразделения должен обратиться в службу безопасности (СБ) за разъяснениями.
Конфиденциальные документы создаются только в рабочее время и только на своем рабочем месте.
Создаваемые документы, над которыми работа еще не закончена, должны храниться таким же образом, как и готовые.
Включение конфиденциального фрагмента из другого документа в создаваемый делает новый конфиденциальным.
Конфиденциальные документы запрещено вторично использовать (под черновики других документов, для копирования на обратной стороне и пр.).
6. Учет конфиденциальных документов.
После создания и утверждения документа он должен быть немедленно зарегистрирован у секретаря по специальному отдельному делопроизводству, т. е. учтен по Журналу регистрации конфиденциальных документов (Приложение №_). Регистрации подлежат документы, в форме которых содержатся служебные записи об утверждении и(или) согласовании, а также конфиденциальная переписка. После регистрации документа он сдается секретарю на хранение.
Лицо, не зарегистрировавшее документ в указанный срок, несет за это ответственность.
7. Хранение конфиденциальных документов.
За организацию хранения конфиденциальных документов подразделения отвечает руководитель данного подразделения.
Конфиденциальные документы хранятся в недоступном для посторонних лиц месте (сейф, металлический шкаф, файл-бокс и пр.), исключающем несанкционированный доступ и пользование ими.
Конфиденциальные документы хранятся в папках-регистраторах с соответствующими пояснительными надписями. включая также Журналы регистрации. Первым листом в каждой папке должен быть перечень находящихся в ней документов.
Порядок хранения конфиденциальной информации на магнитных носителях определяется Инструкцией по защите конфиденциальной информации в информационной системе.
Сейф (металлический шкаф) с конфиденциальными документами должен быть постоянно закрыт на ключ, а в нерабочее время опечатан.
В подразделении должен быть один комплект ключей от сейфов – у руководителя подразделения или назначенного ответственного сотрудника. Остальные комплекты должны храниться в сейфе начальника СБ в опечатанном печатью руководителя данного подразделения пенале. Порядок опечатывания и сдачи под охрану сейфов определяется документами по внутриобъектовому режиму.
Строго запрещается хранение конфиденциальных документов вне специально оборудованных мест. Лицо, нарушившее установленный порядок хранения, несет за это ответственность.
8. Копирование конфиденциальных документов.
Копирование запрещено без указания дополнительными надписями (по умолчанию).
Копия конфиденциального документа является конфиденциальной.
Копирование допускается только с письменного разрешения руководителя подразделения. Количество копий определяется исходя из служебной необходимости.
В правом верхнем углу копии под клише грифа конфиденциальности ставится штамп «Копия № _; всего копий – _».
При копировании зарегистрированного документа в Журнале регистрации делается соответствующая запись с указанием количества сделанных копий.
Работа с копиями производится в соответствии с указанным в данном Положении специальным делопроизводством, установленным для работы с оригиналами.
9. Перемещение конфиденциальных документов.
Документы с тем или иным статусом могут свободно перемещаться только на уровне лиц, имеющих допуск, соответствующий статусу документа (см. «Перечень документов предприятия, содержащих конфиденциальную информацию»).
Перемещение любого документа на более низкий уровень допуска возможно только при согласовании с руководителем подразделения.
10. Архивирование конфиденциальных документов.
По окончании сроков использования конфиденциальные документы сдаются для архивации в заклеенных и маркированных конвертах и хранятся в отдельных металлических шкафах (специальном помещении), закрытых на замок и опломбированных ответственным лицом. В каждом шкафу (на каждой полке) должна находиться опись конвертов, в каждом конверте – опись вложенных документов. На каждом пакете с конвертами должен быть прикреплен ярлык с указанием сроков хранения и года уничтожения. Сроки хранения определяются в соответствии с указаниями Росархива.
Документы подразделений из архива востребуются на основании письменного запроса руководителя подразделения с произведением необходимых записей в Книгу выдачи конфиденциальных документов из архива во временное пользование.
На обращение с архивными документами распространяются все требования настоящего Положения.
11. Уничтожение конфиденциальных документов.
По окончании работы с конфиденциальными документами или сроков их хранения они уничтожаются. Все документы, готовые к уничтожению, хранятся у сотрудника, ответственного за их сохранность до момента передачи на уничтожение.
Уничтожение документов производится любым способом, в. результате которого документ приходит в состояние, когда его невозможно даже частично восстановить (сжигание, измельчение или уничтожение специальными механическими устройствами и т. д.).
Уничтожение массивов документов производится специально создаваемой комиссией, назначаемой приказом генерального директора и состоящей, как правило, из сотрудника СБ, руководителя подразделения, имеющего отношение к уничтожаемым документам, ответственного сотрудника.
При уничтожении составляется акт, в котором указывается состав комиссии и перечень уничтожаемых документов и копий. В акте все члены комиссии подписями подтверждают уничтожение конфиденциальных документов. Акты сдаются в архив.
12. Документы, дополнительно регламентирующие отдельные вопросы, связанные с конфиденциальной информацией.
Основными документами, дополнительно регламентирующими отдельные вопросы, связанные с конфиденциальной информацией. являются:
– Инструкция по защите конфиденциальной информации в информационной системе;
– Соглашение о неразглашении конфиденциальной информации;
– Заявление сотрудника о подтверждении обязательств при увольнении.
13. Общие обязанности сотрудника по обеспечению неразглашения конфиденциальной информации.
Если у сотрудника когда-либо возникнут вопросы, касающиеся того. что считается конфиденциальной информацией, а также, если им замечены какие-либо нарушения сохранности информации и материальных ценностей, он обязан немедленно обратиться к своему непосредственному руководителю.
Сотрудники не должны обсуждать деятельность предприятия в целом и свою работу в частности вне стен предприятия, если этого не требует выполнение своих служебных обязанностей. Материалы и документы при перемещениях в транспорте и нахождении в общественных местах хранить от посторонних глаз.
Сотрудники должны быть внимательными при ведении переговоров с клиентами и партнерами, поскольку случайно или намеренно раскрытая информация может стать известной конкурентам и нанести большой вред.
Клиентам, партнерам и их представителям, а также другим посторонним лицам запрещено присутствовать во внутренних помещениях предприятия, за исключением специально отведенных для этого помещений – клиентских залов и комнат для переговоров. Сотрудники обязаны контролировать присутствие и сопровождать посторонних лиц по помещениям.
Сотрудники обязаны при завершении или прекращении работы с документами или материалами убирать их с рабочего
стола.
Сотрудники при ксерокопировании обязаны ограничиваться количеством копий, необходимых для работы. Запрещается оставлять оригиналы и копии документов в копировальных аппаратах. Нельзя выбрасывать материалы и документы, просто смяв, нужно их обязательно уничтожить.
Сотрудники обязаны предоставлять руководству для ознакомления любые материалы, передаваемые сторонним лицам или организациям.
Сотрудники не должны выносить оборудование предприятия без письменного разрешения соответствующих должностных лиц.
14. Разглашение конфиденциальной информации.
Под разглашением конфиденциальной информации подразумеваются противоправные, умышленные или неосторожные действия сотрудников и иных лиц, не санкционированные в установленном порядке руководством Предприятия, в результате которых произошло оглашение или передача конфиденциальных сведений лицам и организациям, не имеющим никаких прав на законное получение такой информации.
Открытым (санкционированным) опубликованием конфиденциальной информации предприятия является публикация сведений в материалах открытой печати, передача по электронным средствам массовой информации и т. д. Необходимость и возможность использования отдельных элементов конфиденциальной информации предприятия для опубликования выносится инициатором на совещание экспертной комиссии, после чего форма, объем и другие параметры публикации утверждаются генеральным директором.
15. Контроль.
Контроль за выполнением правил сохранения и защиты конфиденциальной информации персоналом возлагается на руководителей подразделений, общий контроль – на СБ, а также специально назначенных ответственных лиц.
16. Ответственность за невыполнение или халатное выполнение данного Положения.
Все сотрудники Предприятия, в т. ч. находящиеся на испытательном сроке, обязаны в течение первого рабочего дня ознакомиться с данным Положением, а также со всеми остальными документами предприятия, регламентирующими сохранение и защиту конфиденциальной информации, и подписать Соглашение о неразглашении конфиденциальной информации.
Обязанность по выполнению данного пункта возлагается на службу персонала.
За умышленное невыполнение или халатное исполнение правил обращения с конфиденциальными документами, изложенных в данном Положении и других документах, если это
повлекло за собой нанесение материального ущерба, виновное лицо несет ответственность в соответствии с действующим законодательством.
На каждом конкретном предприятии существуют свои правила так называемого секретного делопроизводства, которое может вестись как секретарем, так и специальным отделом. Здесь изложены только основные принципы и методы учета конфиденциальной информации. Более детально вариант документа о специальном делопроизводстве приведен в главе 8.
Положение содержит основные обязанности сотрудников по обеспечению сохранности конфиденциальной информации. Для усиления этой составляющей системы защиты желательно обязанности персонала доводить также в форме включения в должностные инструкции и дополнительно выдавать специальные памятки. Все только под роспись.
СОСТАВЛЕНИЕ ПЕРЕЧНЯ ДОКУМЕНТОВ ПРЕДПРИЯТИЯ, СОДЕРЖАЩЕГО КОНФИДЕНЦИАЛЬНУЮ ИНФОРМАЦИЮ
Неотъемлемым приложением к Положению является указанный Перечень. Его наличие на предприятии носит принципиальный характер, так как невозможно требовать от работников неразглашения абстрактной конфиденциальной информации, как иногда указывают в обязательственных документах: «сохранять ноу-хау, деловые секреты, служебные, сведения». Защищается только документированная информация, следовательно, необходимо как можно конкретнее описать все группы и виды конфиденциальной документации.
Ниже приведены рекомендации по формированию такого Перечня. Обратим внимание на то, что эти рекомендации носят относительный характер, так как ценность той или иной информации для предприятия определяет его руководитель. В по
мещенной в данном разделе таблице виды документационного обеспечения сгруппированы в основные категории документов, образующихся в деятельности типового предприятия (графа № 2). В графе № 3 указаны лишь некоторые документы из соответствующей категории, а графа № 4 определяет, к какой степени конфиденциальности для внутренних пользователей может относится информация с данного документа. Обозначения грифа секретности для примера даны следующие: «ДСП» – для служебного пользования, «С» – секретно, «ОС» – особо секретно. Каждый руководитель может самостоятельно обозначить степени конфиденциальности так, как захочет. Графа № 1 объединяет категории документов в блоки, соответствующие функциональному делению видов деятельности.
Кроме того, следует учесть, что гриф «ДСП» может применяться также к документации, не содержащей никакой конфиденциальной информации предприятия и его подразделений, однако особый режим хранения и обращения наиболее предпочтителен для таких документов. Например, устав предприятия – документ, который запрещено относить к коммерческой тайне, но руководитель предприятия вряд ли захочет держать его на виду даже у своих сотрудников, так как в нем содержатся персональные данные учредителей – физических лиц. Или, скажем. Книга учета инструктажа по технике безопасности. Не секретный, но тоже очень важный документ, и подпись в Книге сотрудника, получившего травму, для ответственных лиц предприятия может явиться единственным аргументом избежания наказания. А если эта Книга хранится на общих основаниях, можно и потерять такой аргумент.
Что включать в перечень, а что не включать – решать собственнику информации. Далее приведен один из вариантов такого документа. Обратите внимание, что в средней графе указываются конкретные наименования документов.
Как видите. Перечень имеет достаточное расширение, чтобы предусмотреть любые дополнительные включения в него. И в данном случае формулировка такого вида документации, как «другие документы, имеющие данный гриф», совершенно правомерна.
Отдельного упоминания заслуживает вопрос о сроках действия грифов конфиденциальности. По общему правилу, срок секретности определяется создателем документа, исполнителем, лицом, подписывающим или утверждающим документ. Срок может указываться в виде периода действия грифа, в виде даты окончания грифа, наступления определенного события, на который сориентирован документ или надписи «бессрочно». В иных случаях решение вопроса о снятии грифа остается за экспертной комиссией или специалистом по защите информации.
ОБЯЗАТЕЛЬСТВО СОТРУДНИКА О НЕРАЗГЛАШЕНИИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ПРЕДПРИЯТИЯ
Следующий документ, входящий в состав документации внедрения – Соглашение с сотрудником (обязательство сотрудника) о неразглашении конфиденциальной информации предприятия, подписываемое сотрудником при приеме на работу.
Вариант
ЗАО ____________________, именуемое в дальнейшем «Предприятие», в лице ____________________,
действующего на основании доверенности № __ от ____________________,
с одной стороны, и гражданин____________________,
именуемый в дальнейшем «Сотрудник», с другой стороны, договорились о нижеследующем:
1. Работа на Предприятии
Предприятие нанимает Сотрудника для работы в должности ____________________. Сотрудник предупрежден,
что в процессе работы ему будет предоставлен доступ к конфиденциальной информации Предприятия, соответствующий
его должности, а также возможность эксплуатации оборудования Предприятия.
2. Чужая коммерческая тайна.
Сотрудник заверяет Предприятие в том, что он не будет раскрывать Предприятию любую информацию, содержащую коммерческую тайну, принадлежащую другим лицам или организациям. Предприятие подтверждает, что работа Сотрудника не будет требовать от него нарушения каких-либо обязательств, данных другой стороне.
3. Конфиденциальная информация предприятия.
Конфиденциальной информацией предприятия считается любая информация, составляющая содержание документов, включенных в соответствии с законодательством и внутренними нормативными актами Предприятия в «Перечень документов Предприятия, содержащих конфиденциальную информацию».
4. Обязательство о сохранении конфиденциальной информации.
Сотрудник обязуется в течение всего периода его работы на Предприятии и после:
– не раскрывать конфиденциальную информацию Предприятия какому-либо лицу или организации, за исключением случаев выполнения своих обязанностей сотрудника Предприятия и с прямого указания руководства Предприятия;
– не использовать, прямо или косвенно, конфиденциальную информацию Предприятия иначе, чем в интересах Предприятия в целях выполнения своих обязанностей как его сотрудника и по прямому указанию руководства Предприятия;
– подчиняться правилам Предприятия и указаниям ее должностных лиц, направленным на защиту и сохранение конфиденциальной информации.
В случае прекращения работы на Предприятии и независимо от причин увольнения Сотрудник до осуществления окончательного расчета обязуется вернуть Предприятию все находящиеся в его распоряжении документы, информацию и другие материалы, включая программные продукты, связанные с деятельностью Предприятия и закрепленные на любых носителях.
Сотрудник подтверждает, что отношения Предприятия с его сотрудниками и партнерами являются деловым капиталом Предприятия. Сотрудник заверяет, что во время своей работы на Предприятии либо после увольнения он не разрушит, не нанесет ущерба, не ослабит и не вмешается в эти отношения путем посредничества или другим путем. Сотрудник обязуется не действовать каким-либо образом от лица Предприятия или по его поручению в личных целях, если это не оговорено указаниями Предприятия.
Сотрудник обязуется в период своей работы на Предприятии не участвовать без предварительного письменного согласия Предприятия, прямо или косвенно, в какой-либо работе, не давать консультаций и не участвовать в какой-либо деятельности в чьих-либо интересах, кроме Предприятия, иначе это войдет в противоречие с обязанностями Сотрудника по отношению к Предприятию.
Сотрудник обязуется оказывать всемерное содействие администрации и службе безопасности Предприятия в выявлении, предупреждении и пресечении возможных фактов утечки и хищения конфиденциальной информации.
Сотрудник обязуется передавать Предприятию информацию о всех изобретениях, открытиях, усовершенствованиях, технологиях и ноу-хау, разработанных или полученных им одним или в коллективе, относящуюся к результатам работы или исследований в интересах Предприятия, а также полученную при использовании оборудования Предприятия либо ее информации.
5. Право на служебное произведение.
Сотрудник подтверждает, что исключительные права на использование авторских работ и служебных произведений принадлежат Предприятию в соответствии с Законом РФ «Об авторском и смежных правах» от 09.07.1993 г. № 5351-1. Также, согласно Патентному закону РФ от 23.09.92 г. № 3517-1, право на получение патента на изобретение, полезную модель или промышленный образец, созданные Сотрудником в связи с выполнением им своих служебных обязанностей или полученного от Предприятия конкретного задания, принадлежит Предприятию. В случае, если какое-либо служебное произведение будет подано на патентование либо раскрыто Сотрудником третьей стороне после прекращения работы на Предприятии, это будет рассматриваться как то, что произведение создано Сотрудником еще во время работы на Предприятии, и все права на использование этого произведения будут принадлежать Предприятию, если не будет доказано, что произведение создано после увольнения с Предприятия и без использования его информации и оборудования.
6. Ответственность Сотрудника по настоящему Соглашению.
В случае нарушения Сотрудником условий настоящего Соглашения Предприятие имеет право наложить на Сотрудника дисциплинарное взыскание или возместить понесенные в результате нарушения убытки за счет Сотрудника в порядке и размере, оговоренном действующими на Предприятии нормативными актами. Предприятие также имеет право предъявить Сотруднику иск о возмещении суммы убытка в соответствии со ст. 139 ГК РФ и/или привлечь к уголовной ответственности. В этом случае вид и размер возмещения будет определяться судебным решением.
7. Заключительные положения.
1. Сотрудник подтверждает, что прочитал, понял и принимает условия и правила, изложенные выше, и обязуется их
выполнять. Сотрудник подтверждает, что настоящее обязательство берет на себя добровольно, без какого-либо принуждения.
2. Сотрудник понимает, что нарушение любого правила может привести к дисциплинарному взысканию вплоть до его увольнения и дальнейшего судебного преследования.
3. При изменении наименования должности сотрудника данное Соглашение не теряет силу.
4. Настоящее Соглашение составлено в 2-х экземплярах, имеющих равную юридическую силу, по одному для каждой из сторон.
5. Настоящее Соглашение вступает в силу с момента его подписания обеими сторонами.
Перед подписанием обязательства целесообразно также предъявлять для ознакомления кандидатам на работу выдержки из законодательства, кратко обосновывающие правовую защиту и описывающие санкции за неправомерное обращение с информацией, в том числе уголовно-правовые.
