Рейтинг: 4.4/5.0 (1827 проголосовавших)Категория: Инструкции
Данная статья посвящена вопросу о том, как обеспечить конфиденциальность информации, являющейся коммерческой тайной вашего предприятия. Какие меры должны быть обязательно предприняты для решения этой задачи? Все меры можно условно разделить на внутренние и внешние.
Внутренние меры по охране коммерческой тайны связаны с рабочим персоналом вашего предприятия. Для этого во время заключения трудового договора или в период его действия, с работником, имеющим доступ к секретной информации, заключается письменное соглашение о конфиденциальности. согласно которому работник обязуется:
• сохранять коммерческую тайну, которая станет ему известна по работе и не разглашать ее без разрешения, выданного в установленном порядке, при условии, что сведения, составляющие коммерческую тайну, не были известны им ранее, либо не были получены им от третьего лица без обязательства, соблюдать в отношении их конфиденциальность;
• выполнять требования инструкций, положений, приказов по обеспечению сохранности коммерческой тайны;
• в случае попытки посторонних лиц получить от них сведения, составляющие коммерческую тайну, немедленно сообщить об этом соответствующему должностному лицу или в соответствующее подразделение хозяйствующего субъекта;
• сохранять коммерческую тайну хозяйствующих субъектов, с которыми имеются деловые отношения;
• не использовать знание коммерческой тайны для занятий деятельностью, которая в качестве конкурентного действия может нанести ущерб хозяйствующему субъекту;
• в случае увольнения передать все носители информации, составляющие коммерческую тайну (рукописи, черновики, документы, чертежи, магнитные ленты, перфокарты, перфоленты, диски, дискеты, распечатки на принтерах, кино- и фотопленки, модели, материалы и др.), которые находились в его распоряжении, соответствующему должностному лицу или в соответствующее подразделение хозяйствующего субъекта.
Внешние меры по обеспечению конфиденциальности коммерческой тайны необходимы при осуществлении предприятием торгово-экономических, научно-технических, валютно-финансовых и других деловых связей, в том числе с иностранными партнерами.
Для этого все заинтересованные стороны специально оговаривают характер, состав сведений, составляющих коммерческую тайну, а так же взаимные обязательства по обеспечению её сохранности в соответствии с законодательством. Однако нужно помнить, что при заключении договора с иностранными партнерами условия конфиденциальности деятельности должны соответствовать законодательству страны, где заключается договор, если иное не предусмотрено межгосударственными соглашениями.
Внутренние и внешние меры по обеспечению конфиденциальности в свою очередь делятся на правовые, организационные, технические и психологические меры.
Правовые меры обеспечения сохранности коммерческой тайны являются первоочередными, т.к. они призваны обеспечить эффективное функционирование остальных мер обеспечения конфиденциальности информации. С этой точки зрения правовые меры являются первичными по отношению к остальным мерам. Первым шагом по реализации правовых мер является принятие на предприятии Положения (Инструкции) по обеспечению сохранности коммерческой тайны, в которых определяются:
• состав и объем сведений, составляющих коммерческую тайну;
• порядок присвоения грифа "Секрет предприятия" сведениям, работам и изделиям и его снятия;
• процедура допуска работников хозяйствующего субъекта, а также лиц, привлекаемых к его деятельности, к сведениям, составляющим коммерческую тайну;
• порядок использования, учета, хранения и маркировки документов и иных носителей информации, изделий, сведения о которых составляют коммерческую тайну;
• организация контроля над порядком использования сведений, составляющих коммерческую тайну;
• процедура принятия взаимных обязательств хозяйствующими субъектами по сохранению коммерческой тайны при заключении договоров о проведении каких-либо совместных действий;
• порядок применения предусмотренных законодательством мер дисциплинарного и материального воздействия на работников, разгласивших коммерческую тайну;
• возложение ответственности за обеспечение сохранности коммерческой тайны на должностное лицо хозяйствующего субъекта.
После принятия Положения (Инструкции) можно приступать к разработке организационных мер по обеспечению конфиденциальности вашей коммерческой тайны. И здесь самый важный вопрос – кто будет осуществлять все перечисленные меры по защите.
Естественно, исполнение этих обязанностей должно быть поручено специалистам, обладающим необходимыми теоретическими и практическими знаниями. Не рекомендуется использование для этих целей услуг частных охранных и детективных агентств, так как:
во-первых, перед ними стоят несколько иные задачи (физическая охрана и техническая безопасность объекта),
во-вторых, вряд ли здравомыслящий бизнесмен разрешит доступ к своей коммерческой тайне посторонним лицам, пусть даже представляющим охранное агентство.
В законе "О коммерческой тайне" указано, что для обеспечения защиты коммерческой тайны на крупных хозяйствующих объектах могут создаваться специальные режимно-секретные подразделения, функции, полномочия которых отражаются в соответствующих инструкциях, положениях, приказах. Нам представляется, что такие подразделения должны быть созданы не только на крупных объектах, но и на всех остальных, занимающихся коммерческой деятельностью.
На любом предприятии имеются сведения, подлежащие защите. Разница только в объеме мер защиты. На крупных хозяйствующих объектах, таких как банки, финансовые корпорации, заводы, специализированное подразделение обычно представлено в виде разветвленной, отлично материально и технически оснащенной структуры, в которой может работать несколько десятков сотрудников. На средних и малых предприятиях такое подразделение может быть представлено в виде нескольких ответственных сотрудников.
В крайнем случае, если предприятие не может себе позволить содержать таких сотрудников в своем штате, то следует прибегнуть к услугам консультантов по вопросам безопасности и защиты информации. Они помогут разработать необходимую систему защиты, а также решить возникающие в ходе практической деятельности вопросы. В дальнейшем эти консультанты могут быть наняты на постоянную работу и сформируют службу безопасности вашего предприятия.
Важно помнить, что, экономя на своей безопасности, вы экономите на своем благополучии и здоровье. Поэтому от того, как оплачивается труд ваших сотрудников или консультантов, зависит эффективность их работы, т.е. эффективность защиты предприятия.
К техническим мерам по охране секретной информации относятся следующие меры:
1) выявление возможных источников утечки информации;
2) приобретение и монтаж специализированной аппаратуры и программных продуктов для защиты информации;
3) проведение регулярных оперативных мероприятий по технической защите и поиску каналов утечки информации.
• периодическое проведение разъяснительной работы среди персонала, партнеров и клиентов;
• создание благоприятной атмосферы в коллективе;
• проведение регулярных проверок (гласных и негласных) с целью выявления неблагонадежных лиц.
Остались вопросы? Узнайте, как решить именно Вашу проблему - позвоните прямо сейчас:
Нормативно-методическое обеспечение защиты конфиденциальной информации предназначено для регламентации процессов обеспечения информационной безопасности фирмы, в том числе при работе персонала с конфиденциальной информацией, документами, делами и базами данных. Оно включает в себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы предотвращения пассивных и активных угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц.
Нормативно-методическое обеспечение базируется на тех обязательных положениях, которые должны содержаться в учредительных и иных основополагающих документах фирмы и определять правовой статус информационной безопасности фирмы. Указанные положения позволяют на законных основаниях вести речь о сохранении предпринимательской тайны, выделять ценную информацию, составляющую собственность и тайну фирмы, и выполнять действия по ее защите. Предмет и направления защиты должны найти отражение, например, в уставе фирмы, типовых формах контрактов различного рода и назначениях, положениях о структурных подразделениях фирмы, должностных инструкциях сотрудников и других документах.
Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих защиту ценной документированной информации фирмы, являются: положение о службе безопасности, положение о службе конфиденциальной документации, должностные инструкции сотрудников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и другие документы.
Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию отражают избранную фирмой систему защиты документированной информации. Можно выделить основные, на наш взгляд, регламентирующие документы, имеющие значение для любой фирмы и необходимые при использовании любой системы защиты информации или отдельных элементов такой системы.
Прежде всего, следует назвать Перечень сведений предпринимательской фирмы, составляющих ее тайну или являющихся особо ценными. Перечень предназначен для определения состава конфиденциальных документов и баз данных, установления грифов ограничения доступа к бумажным и электронным документам, определения необходимой структуры системы защиты информации. Содержание перечня обычно делится на несколько частей: общую методическую часть по способам составления перечня и правилам работы с ним, списки конфиденциальных сведений по структурным подразделениям или управленческим функциям фирмы, список видов конфиденциальных документов и баз данных с указанием места их хранения, срока конфиденциальности и т.п.
Другим важным регламентирующим документом является Инструкция по обеспечению безопасности собственной информации предпринимательской фирмы. Она необходима для организации работы по защите конфиденциальной и ценной документированной информации и включает в себя:
«Обязанности сотрудников фирмы при работе с конфиденциальной информацией»;
«Порядок доступа сотрудников к конфиденциальным документам и базам данных, оформление доступа»;
«Обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала»;
«Порядок сохранения тайны фирмы при проведении совещаний, заседаний и переговоров»;
«Требования к помещениям для работы с конфиденциальной информацией»;
«Порядок охраны территории, здания, помещений, транспортных средств и персонала фирмы»;
«Пропускной режим помещений фирмы, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов»;
«Порядок приема, учета и контроля деятельности посетителей»;
«Требования к защите информации в рекламной и выставочной работе, публикациях, при интервьюировании и собеседованиях»;
«Организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств организационной техники»;
«Ответственность сотрудников фирмы за разглашение конфиденциальной информации и утрату ценных документов».
Инструкция по обработке, хранению и движению конфиденциальных документов предпринимательской фирмы предназначена для организации работы сотрудников службы конфиденциальной документации, менеджера (референта) по безопасности, управляющего делами фирмы. Основные разделы этой инструкции:
«Структура защищенного документооборота фирмы»;
«Установление, изменение и снятие грифа конфиденциальности документов»;
«Порядок составления, изготовления и издания конфиденциальных документов»;
«Копирование и размножение документов»;
«Прием и распределение поступивших документов»;
«Учет (регистрация) документов»;
«Отправка и рассылка документов»;
«Порядок передачи документов в процессе их рассмотрения и исполнения»;
«Контроль исполнения документов»;
«Порядок систематизации документов и формирования дел»;
«Порядок передачи документов и дел в архив фирмы, уничтожения документов и дел с истекшим сроком хранения»;
«Оперативное (текущее) и архивное хранение дел»;
«Проверка наличия документов, дел, баз данных и носителей конфиденциальной информации»;
«Правила хранения и использования бланков документов, печатей и штампов».
В приложении к инструкции даются учетные и иные технологические формы, необходимые для организации обработки, хранения и движения документов.
Информационные (методические, советующие, обучающие) документы (правила, требования, указания, методики, памятки и т. п.), детализирующие процессы защиты информации, носят вместе с тем обязательный характер и устанавливают порядок работы с конфиденциальной информацией и документами различных категорий сотрудников фирмы или всех сотрудников в конкретных типовых ситуациях. При необходимости они могут составляться по каждому отдельному сотруднику. Целесообразно выделить следующие информационные документы.
Правила работы руководителей и исполнителей (специалистов) предпринимательской фирмы с конфиденциальными документами и базами данных включают в себя:
«Порядок распределения документов между руководителями и исполнителями в соответствии с действующей системой доступа персонала к конфиденциальной информации»;
«Рассмотрение документов руководителем и адресование их исполнителям»;
«Порядок передачи и получения документов исполнителями»;
«Ознакомление исполнителей с содержанием документов и решением по ним руководителя»;
«Составление и изготовление документов исполнителями»;
«Работа руководителя с подготовленными документами»; •
«Порядок хранения документов, дел, носителей информации, чистых бланков документов и штампов на рабочем месте руководителя и исполнителя»;
«Проверка наличия конфиденциальных документов и баз данных на рабочем месте руководителя и исполнителя»;
«Порядок ведения телефонных переговоров, факсимильной переписки»;
«Особенности работы с ПЭВМ при обработке конфиденциальной информации, правила работы с копировальной техникой»;
«Правила работы с конфиденциальными документами за пределами фирмы, в командировках, транспорте, порядок хранения документов»;
«Обеспечение сохранности документов и баз данных во внерабочее время».
Правила работы менеджера по безопасности (управляющего делами, референта) предпринимательской фирмы с конфиденциальными документами и базами данных включают в себя:
«Порядок приема и отправки конфиденциальных документов»;
«Порядок учета (регистрации) документов»;
«Организация доступа исполнителей к конфиденциальным документам»;
«Распределение документов по руководителям и исполнителям, ознакомление с документами исполнителей и передача документов на исполнение»;
«Формирование и ведение справочно-информационного банка данных по конфиденциальным документам»;
«Контроль исполнения документов»;
«Оформление и изготовление документов на пишущих устройствах»;
«Оформление и ведение номенклатуры дел фирмы»;
«Формирование и хранение (текущее и архивное) дел фирмы»;
«Порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя»;
«Защита информации при ведении телефонных переговоров и передаче информации по факсимильной связи»;
«Защита информации при работе с ПЭВМ»;
«Построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техники в рабочее и нерабочее время»;
«Ответственность за нарушение правил работы с конфиденциальной документацией и базами данных».
Правила работы менеджера по персоналу предпринимательской фирмы включают в себя:
«Обязанности менеджера в области защиты информации и работы с сотрудниками, обладающими секретами фирмы»;
«Организация и документирование приема сотрудников на работу»;
«Обязательства сотрудников по сохранению тайны фирмы»;
«Контроль соблюдения персоналом правил работы с конфиденциальными документами и информацией»;
«Организация и документирование переводов сотрудников на другие должности и изменения условий контрактов»;
«Порядок формирования и ведения личных дел сотрудников»;
«Порядок оформления и ведения трудовых книжек сотрудников»;
«Порядок ведения справочно-информационного банка данных по персоналу фирмы»;
«Правила и методы защиты персональных данных»; «Организация и документирование увольнений сотрудников, обязательства по сохранению секретов фирмы»;
«Порядок оформления доступа сотрудников к конфиденциальным сведениям, документам и базам данных»;
«Принципы и направления формирования нормального психологического климата в коллективе, воспитания гордости персонала за свою фирму»;
«Психологический анализ сотрудников, тестирование, анкетирование, инструктирование и обучение персонала»; «Правила хранения документов и работы с ними»; «Организация охраны помещения службы персонала в рабочее и •нерабочее время»;
«Ответственность менеджера по персоналу за разглашение персональных данных о сотрудниках фирмы и другой конфиденциальной информации».
Информационные документы могут также регламентировать требования по единообразному выполнению персоналом определенных видов типовых действий. К таким документам можно отнести, например, Правила обеспечения безопасности секретов фирмы и конфиденциальной, ценной информации в экстремальных ситуациях. Правила включают в себя:
«Классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите секретов фирмы, информации и документов»;
«Порядок (при необходимости - план) эвакуации и охраны документов, дел и баз данных»;
«Порядок (при необходимости - план) эвакуации и оказания
«Порядок охраны имущества фирмы, оборудования и технических средств защиты информации»;
«Порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т. п.)»;
«Порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций».
Рассмотренные нормативно-методические документы отражают действующую в фирме систему защиты информации и потому являются строго конфиденциальными. После их утверждения первым руководителем фирмы они доводятся в выборочном порядке до сведения всех сотрудников фирмы под роспись. Одновременно могут быть внесены необходимые изменения и дополнения в должностные инструкции сотрудников. При внесении обязательных периодических изменений в систему обеспечения безопасности фирмы соответствующим образом своевременно корректируется нормативно-методическая документация. Контроль за соблюдением сотрудниками фирмы изложенных в документах требований возлагается на службы безопасности, конфиденциальной документации и персонала, а в некрупных фирмах — на менеджера по безопасности.
Следовательно, система защиты ценной, конфиденциальной информации предпринимательской фирмы реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого работника фирмы. Знание ими своих обязанностей по защите секретов фирмы является обязательным условием эффективности функционирования системы защиты и определенной гарантией сохранности собственной информации фирмы.
Литература к главе 11
1. Закон Российской Федерации «Об информации, информатизации и защите информации» от 25-января 1995 г. - Сборник законов Российской Федерации. 1995. № 8. Ст. 609.
2. Экономическая безопасность предприятия: Защита коммерческой тайны. Практическое пособие для руководителей и специалистов. Под ред. В. М. Чаплыгина. - М. Аналитик-Пресс, 1991.
3. Герасименко В. А. Защита информации в автоматизированных системах обработки данных. — М. Энергоатомиздат. 1994.
4. Киселев А. Е. Чаплыгин В. М. Шейкин М. С. Коммерческая безопасность. — М. Инфоарт, 1993.
5. Крысин А. В. Безопасность предпринимательской деятельности. - М. Финансы и статистика, 1996.
6. Левин А. А. Секрет фирмы. — М. Машиностроение, 1992.
7. Степанов Е. А. Некоторые документоведческие проблемы защиты информации. Документ в административных структурах. - М. ВНИИДАД, 1995.
8. Халяпин Д. Б. Ярочкин В. И. Основы защиты информации: Учебное пособие. - М. ИПКИР, 1994.
9. Халяпин Д. Б. Ярочкин В. И. Основы защиты промышленной и коммерческой информации. Термины и определения. — М. ИПКИР, 1992.
10. Ярочкин В. И. Безопасность информационных систем. — М. Ось-89, 1996.
Лабораторная работа №2
Правовая защита информации
Правовая защита информации – это защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
Информация является одним из самых ценных ресурсов компании. В любой компании сотрудники каждый день обмениваются информацией, и, в той или иной степени, все бизнес-процессы компании используют соответствующие информационные ресурсы.
Информационные ресурсы – это вся информация компании, зафиксированная на материальных носителях и в любой другой форме, обеспечивающей ее хранение и передачу.
Примерами информационных ресурсов являются:
- файл, хранящийся на сервере, в котором содержатся все координаты клиентов и партнеров компании;
- каталог, хранящийся на компьютере бухгалтера, в котором содержатся бухгалтерские документы;
- папка с ценными бумагами, которая хранится в сейфе.
Информация, как и любой другой ценный ресурс компании, требует защиты. Это требование вызвано, прежде всего, тем, что непрерывная и во многом успешная деятельности компании напрямую связана с наличием в нужный момент времени (доступной) неискаженной (целостной) и, если требуется, конфиденциальной информации.
Информационная безопасность (information security ) – обеспечение конфиденциальности, целостности и доступности информации, а также подлинности информации, надежности систем, контроля над выполнением обязательств.
Конфиденциальность (confidentiality ) – свойство информации не быть доступной или раскрытой неавторизованными лицами, сторонами или процессами [11].
Нарушение конфиденциальности информационных ресурсов может нанести компании серьезный ущерб. Например, в случае, если конкуренты компании узнают информацию о цене тендерных предложений и предпримут необходимые действия, то компания, скорее всего, потеряет часть выгодных контрактов и клиентов. Ярким примером нарушения конфиденциальности является тот факт, что можно купить компакт-диск с информацией обо всех владельцах мобильных телефонов или собственниках жилья и даже базы данных доходов и налогов физических лиц столичного региона.
Доступность (availability ) – свойство быть доступным и используемым со стороны авторизованных лиц [11].
Доступность является одним из важнейших факторов функционирования бизнес-процессов компании. Ущерб компании в случае простоя информационного ресурса, и, следовательно, невозможности работать с ним сотрудников может быть очень критичным. В случае если речь идет о больнице, то ущерб исчисляется не в деньгах, а в жизнях людей!
Целостность (integrity ) – свойство сохранения точности и полноты информационных ресурсов [11].
Нарушение целостности заключается, как правило, в модификации или удалении информации. Одним из ярких примеров нарушения целостности является неавторизованная модификация информации, расположенной на сайте, которая может существенным образом повлиять на имидж компании. Например, если на сайте Интернет-магазина конкуренты изменят цены на товары, магазин потеряет своих клиентов.
Правила и требования обеспечения информационной безопасности излагаются в нормативных документах, которые утверждаются руководством компании. Все сотрудники компании должны быть ознакомлены под роспись с документами, описывающими их действия при работе с информацией компании, например, с соглашением о конфиденциальности и с инструкцией по действиям в нештатных ситуациях. Требования, изложенные в нормативных документах, на практике реализуются с помощью различных технических, программных и программно-аппаратных средств, а также выполнения правил сотрудниками компании.
Вся информация, обрабатываемая в информационной системе компании, является критичной. Часто считается, что наиболее критичным свойством является конфиденциальность информации. Однако не следует забывать, что для компании не менее важно обеспечение целостности и доступности информации.
На информационную систему компании действуют различные угрозы.
Угроза (threat ) – потенциальная причина нежелательного инцидента, который может причинить вред системе или компании [11].
Примерами угроз информационной безопасности являются:
- неумышленное удаление критичной информации сотрудниками компании;
- проникновение нарушителя внутрь охраняемого периметра компании;
- вирус на компьютере сотрудника.
Чтобы успешно реализовать угрозу безопасности, нарушителю необходимо, чтобы в информационной системе были слабые места (или уязвимости).
Уязвимость (vulnerability ) – отрицательная характеристика информационного ресурса или группы ресурсов, с помощью которой может быть реализована одна или несколько угроз [11].
Например, если информация хранится на рабочем столе сотрудника в открытом доступе, то в случае его отсутствия на рабочем месте, информацию можно украсть или прочитать. Таким образом, хранение документов в небезопасном месте является уязвимостью.
Обеспечение информационной безопасности достигается устранением или снижением вероятности реализации уязвимостей системы. Устранить угрозу невозможно, угроза является внешним фактором, не зависящим от действий компании.
Плохо обученные сотрудники являются уязвимостью компании, так как они могут неумышленно совершить действия, в результате которых нарушится информационная безопасность. Следовательно, основная задача сотрудников с точки зрения обеспечения безопасности – четкое выполнение инструкций, описывающих правила обеспечения информационной безопасности.
Порядок выполнения работы
1. Изучить теоретические сведения.
2. Ознакомиться с приложением А.2.
3. Разработать свое видение Инструкции по обеспечению сохранности конфиденциальной информации в обследованных подразделениях.
4. Разработать свое видение организации надзора и контроля за исполнением Инструкции в обследованных подразделениях.
5. Оформить отчет по работе.
Требования к отчету
Отчет по лабораторной работе должен содержать:
- Инструкция по обеспечению сохранности конфиденциальной информации;
- предложения по организации надзора и контроля за исполнением Инструкции.
Отчет выполняется на бумаге формата А4.
по обеспечению сохранности конфиденциальной информации
1. Общие положения
1.1. Настоящая инструкция разработана в соответствии с требованиями законодательства Российской Федерации и учредительными документами Организации. Она предусматривает организационные и административные меры по защите конфиденциальной информации с целью предотвращения нанесения возможного экономического и морального ущерба Организации со стороны юридических и физических лиц, вызванного их неправомерными или неосторожными действиями путем присвоения или разглашения конфиденциальной информации.
1.2. Под конфиденциальной информацией понимается сведения, связанные с задачами, решаемыми Организацией в соответствии с учредительными документами, информация, связанная с управлением, финансами и другими сферами деятельности Организации, разглашение (искажение, передача, утечка и т.д.) которой может нанести ущерб интересам Организации.
1.3. Разглашением конфиденциальной информации следует считать следующие действия сотрудника:
- доведение до сведения неуполномоченных лиц в устной, письменной, электронной или иной форме конфиденциальную информацию. Указанный факт может наступить в результате умысла сотрудника или по неосторожности, включая халатное отношение к своим обязанностям;
- использование конфиденциальной информации в процессе выполнения работы для другого предприятия, учреждения и организации или по заданию физического лица, иного субъекта предпринимательской деятельности без образования юридического лица;
- использование конфиденциальной информации в научной и педагогической деятельности;
- использование конфиденциальной информации в личных целях, не связанных с выполнением должностных обязанностей в Организации;
- использование конфиденциальной информации в ходе публичных выступлений, интервью и т.п.;
- иные действия сотрудника, в результате которых конфиденциальная информация, стала известна неуполномоченным лицам.
1.4. Предоставление конфиденциальной информации представителям контрольных, ревизионных, фискальных и следственных органов и т.п. допускается только с разрешения руководителя Организации.
1.5. Защита конфиденциальной информации предусматривает:
- определение конфиденциальной информации, и сроков ее защиты;
- систему допуска сотрудников Организации, частных и командированных лиц к конфиденциальной информации;
- обязанности лиц, допущенных к конфиденциальной информации;
- порядок работы с бумажными документами, содержащими конфиденциальную информацию;
- порядок работы с электронными документами, содержащими конфиденциальную информацию;
- обеспечение сохранности документов и дел (архивов) содержащих конфиденциальную информацию;
- принципы организации и проведения контроля за обеспечением установленного порядка при работе с конфиденциальной информацией;
- ответственность за разглашение конфиденциальной информации и утрату документов, содержащих конфиденциальную информацию.
1.6. Обязанности по конфиденциальному делопроизводству возлагаются на секретаря руководителя Организации (в части делопроизводства руководителя Организации), секретарей руководителей структурных подразделений Организации (в части делопроизводства структурных подразделений) и системного администратора корпоративной компьютерной сети (в части обеспечения работоспособности электронной системы делопроизводства).
1.7. Ответственность за организацию работы с конфиденциальной информацией, разработку и осуществление необходимых мер по сохранности конфиденциальной информации руководитель Организации возлагает на руководителей структурных подразделений, соответствующих должностных лиц Службы безопасности, секретарей и системного администратора закрытой корпоративной компьютерной сети.
2. Порядок работы с конфиденциальной информацией, представленной в электронном виде
2.1. Хранение, работа и архивирование любых электронных конфиденциальных документов (файлов) должно осуществляться с учётом требования ограничения несанкционированного доступа к ним третьих лиц способами, оговоренными настоящим разделом данной Инструкции.
2.2. Все персональные компьютеры, установленные на рабочих местах сотрудников, подключены к защищенной корпоративной компьютерной сети Организации (далее – сеть).
2.3. Каждый персональный компьютер оснащён стандартным набором программных средств, принятых для эксплуатации в Организации. Любые изменения в оснащении персонального компьютера, подключённых к сети, должны быть санкционированы руководством структурного подразделения, согласованы с администратором сети и осуществлены уполномоченными специалистами Организации.
2.4. Вся конфиденциальная информация, имеющаяся в распоряжении сотрудника, должна храниться и обрабатываться на корпоративном файл-сервере Организации.
2.5. Первичный допуск сотрудника к работе на персональном компьютере, включенного в сеть осуществляется системным администратором сети по указанию руководства соответствующего структурного подразделения и включает в себя:
- ознакомление сотрудника с настоящей Инструкцией под роспись;
- инструктаж по порядку работы с программными средствами, принятыми для эксплуатации в Организации;
- получение сотрудником персонального ключа для шифрования данных;
- получение сотрудником персонального пароля для доступа к ресурсам корпоративного сервера и локальной вычислительной сети;
- получение адреса персонального почтового ящика корпоративной почты.
2.6. В каждый конкретный момент времени в течение рабочего дня загруженными в персональный компьютер сотрудника должны быть только те электронные конфиденциальные документы (файлы), которые имеют непосредственное отношение к тому делу, которым занимается сотрудник в данный момент времени. При этом все другие конфиденциальные документы (файлы), должны находиться на сервере.
2.7. Загрузка (открытие), сверх действительно необходимого количества, электронных конфиденциальных документов (файлов) на персональных компьютерах сотрудников запрещается.
2.8. В течение рабочего дня ставшие ненужными в текущей работе (отработанные) электронные конфиденциальные документы (файлы) подлежат незамедлительному закрытию (сохранению на файл-сервер).
2.9. Обмен электронными конфиденциальными документами (файлами) между сотрудниками, находящимися вне офиса Организации (командировки) осуществляется путем обмена зашифрованной почтой через корпоративные почтовые ящики сотрудников.
2.10. Порядок обращения с конфиденциальным бумажным документом полученным в результате распечатки электронного конфиденциального документа регламентируется соответствующими разделами данной Инструкции.
2.11. В случае прихода (ожидания) посетителя к сотруднику, в персональный компьютер этого сотрудника могут быть загружены только те электронные конфиденциальные документы (файлы), относящиеся к делу этого посетителя. Загружать в персональный компьютер и/или работать с электронными конфиденциальными документами (файлами), не относящимися к делу присутствующего посетителя - запрещается.
2.12. Сотруднику, работающему с электронными конфиденциальными документами (файлами) категорически запрещается:
- оставлять персональный компьютер на время более 5 мин. с разрешённым доступом к личной папке;
- сообщать, кому бы то ни было, свой персональный пароль доступа в закрытую корпоративную компьютерную сеть Организации;
- сообщать, кому бы то ни было, пароль доступа к своему персональному ключу PGP;
- оставлять посетителя в кабинете одного при включенном в защищенную корпоративную сеть компьютере;
- осуществлять хранение/обработку личных файлов (данных, не имеющих отношения к выполнению функциональных обязанностей) на сетевых дисках корпоративного сервера;
- использовать съёмные носители - дискеты, ZIP диски, магнитооптика и т.д. – для обмена между сотрудниками и хранения электронных конфиденциальных документов (файлов);
- самовольно, без согласования с администратором сети, изменять аппаратную конфигурацию и настройки программного обеспечения персональных компьютеров, подключенных к сети.
2.13. Сотрудник, работающий с электронными конфиденциальными документами (файлами) обязан:
- выполнять требования администратора сети в рамках установленного регламента эксплуатации сети и требований настоящей Инструкции (технический перерыв, устранение выявленных нарушений хранения/обработки данных, профилактические работы на оборудовании сети). Несоблюдение требований настоящего пункта может привести к необратимой потере данных, ответственность за которую возлагается на самих сотрудников.
- при убытии в отпуск/командировку предоставить имеющиеся у него конфиденциальные электронные документы (файлы), которые могут понадобиться в его отсутствие (определяется руководителем), в распоряжение уполномоченного руководителем сотрудника в зашифрованном на открытом ключе этого сотрудника виде;
- еженедельно производить ревизию своей личной папки, размещённой на корпоративном файл-сервере, с целью выявления и уничтожения конфиденциальных электронных документов (файлов) ставших ненужными.
3. Порядок обеспечения сохранности документов и дел (архивов), содержащих конфиденциальную информацию
3.1. Все документы, и дела (архивы) с документами имеющими гриф «Конфиденциально» должны храниться в офисных помещениях в надежно запираемых и опечатываемых сейфах (металлических шкафах). Помещения должны отвечать требованиям внутри объектного режима, обеспечивающего физическую сохранность находящейся в них документации.
3.2. Дела (архивы) с документами имеющими гриф «Конфиденциально», выдаются секретарями под роспись в регистрационном журнале и подлежат возврату сотрудниками в тот же день. При необходимости, с разрешения руководства структурного подразделения, они могут находиться у сотрудника в течении срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.
3.3. С документами (электронными и бумажными) с грифом «Конфиденциально» разрешается работать только в офисных помещениях Организации. Для работы вне офисных помещений необходимо разрешение руководства Организации или руководства структурного подразделения.
3.4. Во время перерывов в работе, связанных с выходом из своего офисного помещения, запрещается оставлять конфиденциальные документы на столах, в незапертых ящиках столов. В случае нахождения в офисном помещении посетителей или иных лиц, не имеющих допуск к конфиденциальным бумажным документам, все конфиденциальные документы должны быть убраны в сейфы (металлические шкафы).
4. Порядок допуска к конфиденциальным сведениям
4.1. Допуск сотрудников к конфиденциальным сведениям осуществляется руководством Организации и оформляется соответствующим решением в письменной форме.
4.2. Руководители структурных подразделений обязаны обеспечить систематический контроль за допуском к конфиденциальным сведениям только тех лиц, которым они необходимы для выполнения функциональных обязанностей.
4.3. К конфиденциальным сведениям допускаются лица, личные и деловые качества которых обеспечивают их способность хранить конфиденциальную информацию, и только после оформления письменного обязательства по сохранению конфиденциальной информации.
4.4. Допуск сотрудников к работе с делами (архивами), в которых хранятся конфиденциальные документы осуществляется согласно оформленному на внутренней стороне обложки дела (архива) или на отдельном листе списку допущенных сотрудников за подписью руководства Организации, а к документам - в соответствии с указаниями, содержащимися в резолюциях руководства Организации или руководства структурных подразделений.
5. Контроль за выполнением требований внутри объектового режима при работе с конфиденциальными сведениями
5.1. Под внутри объектовым режимом при работе с конфиденциальными документами подразумевается соблюдение условий работы, исключающих возможность утечки информации о конфиденциальных сведениях.
5.2. Контроль за соблюдением указанного режима осуществляется в целях изучения и оценки состояния сохранности конфиденциальной информации, выявления и установления причин недостатков, и выработки предложений по их устранению.
5.3. Контроль за обеспечением режима при работе с конфиденциальными сведениями осуществляют соответствующие сотрудники Службы безопасности и руководители структурных подразделений путем текущих и внеплановых проверок.
6. Обязанности сотрудников Организации, работающих с конфиденциальными сведениями и их ответственность за ее разглашение
6.1. Сотрудники организации, допущенные к конфиденциальными сведениям, несут ответственность за точное выполнение требований, предъявляемых к ним в целях обеспечения сохранности указанных сведений.
6.2. До получения доступа к работе, связанной с конфиденциальной информацией, им необходимо изучить настоящую Инструкцию под роспись и заключить письменное обязательство о сохранении конфиденциальной информации, оформленное в виде договора.
6.3. Сотрудники организации, допущенные к конфиденциальной информации должны:
- знать и соблюдать требования настоящей Инструкции;
- хранить конфиденциальную информацию, в том числе не сообщать конфиденциальные сведения друзьям и членам своей семьи. О ставших им известной утечке сведений, составляющих конфиденциальную информацию, а также об утрате документов с грифом «Конфиденциально», немедленно сообщать своему руководителю структурного подразделения и в Службу безопасности;
- предъявлять для проверки по требованию комиссии по проверке конфиденциального делопроизводства и представителей Службы безопасности все числящиеся за ним материалы, содержащие конфиденциальную информацию, а в случае нарушения установленных правил работы с ними представлять соответствующие объяснения в устном и письменном виде;
- знакомиться только с теми документами и выполнять только те работы, к которым они допущены в соответствии с функциональными обязанностями и в соответствии с дополнительными задачами, возложенными на них руководством;
- строго соблюдать правила пользования и сохранности документов, имеющих гриф «Конфиденциально». Не допускать их необоснованной рассылки;
- выполнять требования внутри объектного режима, определяемые Службой безопасности, исключающие возможность ознакомления с материалами, содержащими конфиденциальную информацию, посторонних лиц, включая и сотрудников организации, не имеющих к указанным материалам прямого отношения.
- при ведении деловых переговоров с представителями сторонних организаций или частными лицами ограничиваться выдачей минимальной информации, действительно необходимой для их успешного завершения;
- при временном убытии (в отпуск, командировку, на учебу, лечение и т.д.) проверять наличие числящихся за ним конфиденциальных документов. Документы, которые подлежат исполнению или могут потребоваться в работе, передавать другому сотруднику по указанию руководства организации или руководства структурного подразделения. При прекращении трудовых или иных договорных отношений с Организацией, сотрудник обязан сдать все числящиеся за ним конфиденциальные документы;
- исключить использование конфиденциальных сведений в свою личную пользу, а также исключить деятельность, которая может быть использована конкурентами в ущерб организации.
6.4. Ответственность за разглашение конфиденциальных сведений, и утрату документов, содержащих такие сведения устанавливается в соответствии с Уголовным кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Кодексом законов о труде Российской Федерации и иным действующим законодательством.
