Категория: Инструкции
В этой статье мы рассмотрим, что собой представляет коммерческая тайна, как составить положение о коммерческой тайне, а также что регулирует закон о коммерческой тайне и к каким последствиям может привести ее разглашение. Подробно об этом и о том, как построить эффективную защиту коммерческой тайны, читайте далее.
Что является коммерческой тайнойКоммерческая тайна – это сведения о компании, которые связаны с производственными процессами, управлением, технологиями, финансами и прочей деятельностью организации, разглашение которых может привести к ущербу для интересов руководства предприятия. Защищаемая информация обеспечивает ряд преимуществ компании для эффективной конкурентной борьбы. Следует отметить, что к категории коммерческой тайны не относится информация, сокрытие которой может привести к ущербу для общества.
Перечень сведений, относящихся к коммерческой тайне, согласно Закону РФ "О предприятиях и предпринимательской деятельности", определяется непосредственно руководителем организации. Для перевода информации к категории защищаемой требуется издание приказа руководителем фирмы с указанием перечня сведений, составляющих коммерческую тайну.
Составление перечня сведений, которые не могут относиться к коммерческой тайне, имеет определенные сложности, ведь в отечественной практике пока не разработана четкая методика отнесения сведений к разряду коммерческой тайны. У каждого предприятия засекречивается разная информация.
К разряду коммерческой тайны относятся следующие данные:1) Научно-техническая информация – включает открытия, идеи, патенты, ноу-хау, новые методы организации производства, лицензии, планы внедрения новых технологий и прочих видов продукции, программное обеспечение, анализ конкурентоспособности продукта, пароли доступа к конфиденциальным данным;
2) Производственная информация. В том числе данные о способах производства, технологии, схемы, чертежи, конструкторские документы, рецептура товаров, информация о материалах, время выхода на рынок, производственные и инвестиционные планы;
3) Финансовые данные – себестоимость товара, размер прибыли, торговые, банковские операции, механизм формирования цен, платежеспособность компании;
4) Деловая информация – условия и характер заключенных контрактов, данные о поставщиках, планы проведения рекламных акций, сведения о коммерческой переписке, деловых переговорах.
Что не является коммерческой тайнойОднако не все данные, соответствующие указанным критериям, могут считаться коммерческой тайной. У государства есть право контроля деятельности предприятий. С этой целью на законодательном уровне установлен перечень данных, которые не могут считаться коммерческой тайной.
В числе сведений, которые не могут считаться коммерческой тайной, следует отметить:
Данная информация предоставляется компанией по первому требованию со стороны юридических и должностных лиц.
Кто имеет право знать коммерческую тайнуОсновные субъекты права на коммерческую тайну – обладатели коммерческой тайны и правопреемники.
Правопреемники являются фактическими либо юридическими лицами, которые по условиям договора либо прочего законного основания получают доступ к информации, представляющей собой коммерческую тайну.
Обладатели коммерческой тайны – являются юридическими (коммерческими и некоммерческими организациями) и физическими лицами (вне зависимости от гражданства), которые занимаются предпринимательской деятельностью с монопольным правом на данные, относящиеся к коммерческой тайне.
Обладатель коммерческой тайны имеет право:– самостоятельно определять критерии, по которым полученная информация будет относиться к разряду коммерческой тайны, комплекс мер для обеспечения режима коммерческой тайны, срок её действия, порядок доступа, выбор и использование методов и средств защиты, хранения передачи данных, относящихся к коммерческой тайне;
– устанавливать, отменять и изменять режим коммерческой тайны (если не нарушает при этом условия договора);
– требовать обеспечивать режим коммерческой тайны от лиц, которые получили доступ к информации из категории коммерческой тайны;
– допускать либо прекращать допуск для лица, которое состоит в трудовых отношениях (работника) с его согласия к коммерческой тайне на договорной основе.
Есть также понятие «носитель коммерческой тайны» – это лицо, которое осведомлено о коммерческих секретах компании (руководители, либо исполнители, допущенные к коммерческой тайне), также изделия, документы, предметы, материалы, вещества, конфидент коммерческой тайны. Является таким носителем коммерческой тайны лицо, которое согласно договору, служебному положению либо прочему законному основанию имеет доступ к тайне другого лица.
Кому нужна коммерческая тайнаЗлоумышленники при хищении коммерческой тайны преследуют, как правило, 3 цели:
1. Получение необходимых сведений в объеме, которого достаточно для успешной конкурентной борьбы;
2. Нанесение ущерба для конкурента, уничтожая его ценную информацию;
3. Внесение изменений в информационные потоки компании-конкурента, преследуя свои цели и интересы.
Утечка информация возможна по нескольким причинам:Несовершенное состояние организации управления на предприятии, недостатки подбора, оснащения и обучения специалистов службы безопасности.
Недостатки в организации обеспечения режима секретности, факты неудовлетворительной постановки учета и отчетности, не проводятся регулярные проверки и инвентаризации, недостаточный контроль выполнения инструкций и правил, низкое финансирование работ, связанных с режимом секретности.
Среди самых вероятных каналов утечки коммерческой тайны зарубежные эксперты относят следующие:
– каналы связи, включая телефон, радиосвязь, телеграф, Интернет и переписку;
– человеческий фактор – при приеме и увольнении сотрудников компании;
– материальные потоки – включают транспортировку секретных изделий, документов, доставку специальной почты;
– реклама, интервью для СМИ, публикации в печати;
– совместная деятельность с прочими организациями;
– внедрение своих людей в состав персонала компании-конкурента;
– переманивание ценных кадров конкурентов, чтобы получить их знания и информацию;
– данные на компьютер: копирование программной информации с носителей, чтение распечаток, хищение носителей информации и пр.
Дополнительная информацияПо данным американского издания «Chemical engineering» приведен список 16 источников, которые активно используются для получения конфиденциальной тайны:
Алексей Раевский. генеральный директор компании SecurIT, Москва
Данные могут быть потеряны по различным причинам – в случае хищения компьютерного оборудования, носителей с резервными копиями, прямой доступ к компьютерам корпоративной сети, кража документов сотрудниками компании и пр.
Следовательно, необходимо предусматривать свою защиту коммерческой тайны для каждой угрозы.
Как защитить коммерческую тайнуОтечественными предпринимателями используется для защиты данных ряд основных мер:
Законодательная защита – соблюдение прав предпринимателя на конфиденциальные данные, закрепленных российским законодательством. При нарушении прав предпринимателя обратится с заявлением в соответствующие органы (прокуратура, ФСБ, МВД, суд), чтобы восстановить свои нарушенные права, возместить ущерб и пр.
Физическая защита — организация пропускного режима на предприятии, охраны, введение специальных карточек для посторонних, работа с закрывающимися шкафами, сейфами и пр.
Организационная защита: 1. Создание службы либо введение должности, ответственной за отнесение информации к разряду коммерческой тайны, следование правилам доступа и использования информации; 2. Соблюдение правил пользования информацией, постоянно действующая система контроля соблюдения правил доступа, пользования информацией; 3. Разделение информации по степени конфиденциальности. Допуск к коммерческой тайне организуется лишь в соответствии с уполномоченной должностью либо с разрешения руководства компании.
Техническая защита – используются средства контроля и защиты, в том числе сигнализирующие устройства, микрофоны, видеокамеры, средства идентификации, программные средства защиты компьютерных систем от попыток несанкционированного доступа.
Работа с кадрами – активная работа кадровых служб компании по набору, обучению, проверке, продвижению, расстановке, стимулированию и продвижению персонала. Необходим регулярный инструктаж сотрудников о важности следовать правилам пользования данными коммерческой тайны, донося информацию об ответственности по факту нарушения.
Пошаговая инструкция по защите коммерческой тайны Шаг 1. Определите, что является коммерческой тайной в вашей компанииПеред введением режима коммерческой тайны на своем предприятии, нужно определить, что может расцениваться в качестве нее в вашей компании. При этом нужно исходить из определения коммерческой тайны. Перечень коммерческих данных должен определяться гендиректором вместе с юристом.
Но для обоснованного признания данной информации коммерческой тайны необходимо соответствие данных ряду критериев:
– законное происхождение (полностью легитимное получение);
– имеют коммерческую ценность;
– собственник информации предпринимает меры для защиты коммерческой тайны;
– отсутствует свободный доступ к данным на законных основаниях.
Дробите конфиденциальную информацию на частиАнтон Ларин, эксперт в области безопасности, руководитель проектов по безопасности компании ExDev, Москва; доктор юридических наук
Среди основных рекомендаций для организации защиты коммерческой тайны следует отметить:
– ограничение общего спектра лиц, которые допущены к работе с данной информацией;
– анализ построения документооборота организации;
– раздробление информации на блоке; каждому сотруднику следует знать ровно такой объем информации, который требуется для выполнения своих задач.
Шаг 2. Составьте положение о конфиденциальной информацииНеобходимо поручить юридической службе организации составление положения о конфиденциальной информации. В этом документе необходимо указать перечень сведений, относящихся к коммерческой тайне с необходимостью указания обязательства о неразглашении этой информации с напоминанием ответственности, порядка использования санкций при нарушении данного обязательства. С этим положением о коммерческой тайне должен быть под роспись проинформирован каждый сотрудник компании.
Шаг 3. Введите учет сотрудников, имеющих доступ к коммерческой тайнеКадровая служба должна заняться составлением приказа о лицах, уполномоченных на допуск к данным коммерческой тайны. Соответствующий приказ должен быть донесен всем сотрудникам, указанным в нем.
Шаг 4. Введите в трудовом договоре пункт о коммерческой тайнеНеобходимо указание в трудовых договорах пункта о неразглашении коммерческой тайны. При этом параллельно стоит работать над улучшением лояльности персонала компании.
Сотрудники могут продать вашу коммерческую тайнуВладимир Киселев, управляющий партнер консалтинговой компании ExDev, Москва; директор Международной школы бизнеса Московской торгово-промышленной палаты
Основным каналом утечки данных становятся именно сотрудники. Могут «слить» информацию случайно или за деньги. Поэтому нужно учесть принципы создания эффективной системы защиты конфиденциальной информации:
Повышение лояльности персонала. Должна быть организована такая система мотивации, с соответствующими нормами корпоративного поведения, чтобы добиться преданности сотрудников к компании, заинтересовав их не только в личных, но и корпоративных успехах. Лояльность персонала становится важным условием не только для безопасности коммерческой тайны, но и общего успеха предприятия.
Нужно разъяснить персоналу, что собой представляет защита коммерческой тайны, какая степень ответственности устанавливается при разглашении. Данные положения регламентируются локальными документами и трудовыми контрактами, ознакомив каждого сотрудника под роспись. При этом необходимо четко прописать, что относится к коммерческой тайне компании.
Шаг 5. Разъясните работникам о сути коммерческой тайныНеобходимо четко донести сотрудникам, что относится к коммерческой тайне, проинформируйте об ответственности за разглашение.
Шаг 6. Заключите с сотрудниками соглашение о неразглашении коммерческой тайныЗаключается соответствующее соглашение о конфиденциальности, неразглашении информации со своими деловыми партнерами.
Шаг 7. Наложите на конфиденциальные сведения гриф «Секретно»Все документы, которые содержат конфиденциальную информацию, должны находиться под грифом «Коммерческая тайна» либо «Служебная тайна».
Шаг 8. Назначьте ответственных за соблюдение конфиденциальностиСотрудник не будет нести ответственность, если ему не объяснили должным образом конфиденциальность информации.
Создайте инструкцию по защите коммерческой тайныВладимир Фильченко, генеральный директор ООО «Центр анализа инвестиционных рисков «Альтернатива Консалтинформ», Москва; полковник МВД в отставке
Меры для сохранения коммерческой тайны могут быть внутренними и внешними. Также иногда выделяется и страховая мера – оформляется страхование коммерческой тайны от случаев разглашения. Однако пока такой опыт в России почти не встречается. В отечественной практике отмечаются и серьезные сложности с расчетом конкретной стоимости коммерческой тайны.
Если с внутренними мерами всё ясно, то внешние заслуживают особого внимания – при работе с деловыми партнерами. Нужно совместно с контрагентом определить содержание, характер конфиденциальных сведений, взаимные обязательства стороны для обеспечения сохранности информации. Необходимо, чтобы юридической службой была разработана «Инструкция по защите конфиденциальной информации при работе с зарубежными партнерами». Однако стоит помнить о важности соответствия условий конфиденциальности с зарубежными партерами нормам законодательства в стране заключения договора, если не установлено другое требование положениями межгосударственных соглашений.
Что грозит за разглашение коммерческой тайныВ случае разглашения коммерческой информации вы можете получить компенсацию за свою потерянную прибыль.
Меры ответственности:1. Незаконное разглашение коммерческой тайны, к которой у человека был доступ:
– штраф до 120 тыс. рублей;
– штраф в размере зарплаты (либо другого дохода) за период до одного года. Будет лишен права работы на определенных должностях или вести некоторую деятельность в течение до трех лет;
– лишение свободы на срок до трех лет.
2. При разглашении секретной информации, которая была незаконно получена:
– шраф 80 тысяч рублей;
– штраф в размере заработной платы (или другого дохода) за период один-шесть месяцев;
– лишение свободы сроком до двух лет.
3. Разглашение коммерческой тайны, которое привело к крупному ущербу для предприятия:
– штраф до 200 тысяч рублей;
– штраф в размере заработной платы (либо другого дохода) в течение периода до 18 месяцев. Лишение сотрудника права работать на определенной должности сроком трех лет;
– лишение свободы сроком до пяти лет.
4. Наказание в случае разглашения секретных данных, приведшего к тяжелым последствиям, – лишение свободы сроком до 10 лет. Тяжкими последствиями являются банкротство предприятия, разорение предпринимателя, ухудшение финансового состояния компании и др.
Работник не имеет права устанавливать любую программу без разрешения IT-отделаАлександр Спарре. председатель правления группы компаний «АвтоСпецЦентр», Москва
В нашей компании требуется подписание не только трудового договора, но также обязательств о неразглашении и защите коммерческой тайны. Если сторонние лица пытаются получить коммерческую информацию, сотрудник должен сообщить про это руководителю. Введен и запрет для самостоятельной установки любых программ без разрешения специалистов IT-департамента. Установлены и некоторые ограничения по использованию информационных систем.
Сотрудник проинформирован – если не выполняется один из пунктов этого обязательства, он может быть не просто уволен, но также привлекаться к уголовной, административной, гражданско-правовой и другим вариантам ответственности согласно нормам законодательства.
Компании и департаменты в составе нашей группы установили должностные инструкции и регламенты, определяющие порядок работы с базами данных, клиентскими базами, с регулированием взаимоотношений с партнерами и общественностью.
Если коммерческую тайну выдал сотрудник компанииВ отношении сотрудника устанавливается требование хранить коммерческую тайну весь срок трудового договора и на протяжении 3 лет с момента увольнения. Если сотрудник в течение установленного срока нарушает требования, компания может предпринимать следующие шаги:
Расторгнуть трудовой договор – прерогатива гендиректора компании. он также должен определить, допускается ли сотрудничество с этим сотрудником в будущем.
Взыскание ущерба с сотрудника. Хотя такой шаг достаточно сложен. Ведь согласно статье 238 ТК РФ, возможно взыскание с сотрудника только действительного ущерба, очень затруднительно компенсировать упущенную выгоду.
Если коммерческую тайну выдал деловой партнерМогут возникнуть ситуации, когда компания по своим договорам вынуждена передавать коммерческие сведения деловым партнерам. Возможна похожая ситуация также в рамках аудиторских проверок, судебных производств и др.
В любых ситуациях, когда у третьих лиц появляется доступ к конфиденциальным сведениям, на них возлагается ответственность по нераспространению данных (если они были проинформированы, что эти данные являются коммерческой тайной). При разглашении данной информации третьими лицами, можно в суде возместить ущерб. В том числе возмещение прямого ущерба или упущенной выгоды.
Возможно предъявление иска для возврата неосновательного обогащения с взысканием суммы, которую партнер получил за передачу данной информации.
Однако в суде предстоит доказать сумму ущерба для компании. Поэтому юристу предстоит тщательно разработать все документы, подтверждающие указанную сумму компенсации.
Информация об авторах и компанияхВладимир Фильченко, генеральный директор ООО «Центр анализа инвестиционных рисков «Альтернатива Консалтинформ», Москва; полковник МВД в отставке. Основным видом деятельности компании является маркетинговые исследования и выявление общественного мнения. Организация насчитывает одну дочернюю компанию.
Алексей Раевский. генеральный директор компании SecurIT, Москва. Компания SecurIT специализируется на разработке систем защиты информации, их распространении и внедрении. Сотрудники компании обладают большим опытом работы в сфере информационной безопасности. Основные продукты компании: системы защиты информации для персональных компьютеров, серверов и резервных копий, системы аутентификации пользователей в сетях и приложениях.
Антон Ларин, эксперт в области безопасности, руководитель проектов по безопасности компании ExDev, Москва; доктор юридических наук. Exdev Consulting — консалтинговая компания, предоставляющая услуги в области внедрения и сопровождения SAP-решений. Опыт внедрения ERP-систем, в таких отраслях как производство авто компонентов, финансовый сектор, ритейл, производство товаров народного потребления, помогает реализовывать проекты качественно и в срок.
Александр Спарре. председатель правления группы компаний «АвтоСпецЦентр», Москва. Группа компаний АвтоСпецЦентр — официальный дилер Porsche, Audi, Infiniti, Nissan, Skoda и Citroen — работает на рынке авторитейла с 1998 года. В настоящее время в состав ГК АвтоСпецЦентр входят десять дилерских центров в Москве и ближайшем Подмосковье.
Понравилась статья? Делитесь с коллегами – пусть оценят!
Под исполнением конфиденциального документа понимается процесс документирования управленческих решений и действий, результатов выполнения руководителями и сотрудниками фирмы поставленных задач и отдельных заданий, поручений, а также реализации функций, закрепленных за ними в должностных инструкциях. Факторами, инициирующими процесс исполнения, являются:
• получение руководителем, сотрудником (исполнителем) поступившего документа;
• письменное или устное указание вышестоящего руководителя;
• устный запрос на информацию или принятие решения от других фирм, учреждений и отдельных лиц;
• задания и поручения, включенные в рабочие планы, графики работы, должностные инструкции и другие организационные и плановые документы;
• полезная информация, полученная из реферативных и информационных сборников, рекламных изданий. В отличие от исполнения процесс использования документа предполагает включение его в информационно-документационную систему, обеспечивающую исполнение других документов, выполнение управленческих действий и решений. Для использования в работе обычно поступают: законодательные акты, организационно-правовые, нормативные, распорядительные, справочно-информационные документы, разнообразные рекламные издания и научно-техническая информация.
В ходе исполнения конфиденциальные документы подвергаются максимально возможному спектру угроз, которые реализуются за счет:
• документирования конфиденциальной информации на случайном носителе, не входящем в сферу контроля службы КД;
• подготовки к изданию документа, не обоснованного деловой Необходимостью или не разрешенного для издания, т.е. документирования определенной информации;
• включения в документ избыточных конфиденциальных сведений, что равносильно разглашению тайны фирмы;
• случайного или умышленного занижения грифа конфиденциальности сведений, включенных в документ;
• изготовления документа в условиях, которые не гарантируют сохранность носителя, конфиденциальность информации;
• утери оригинала, черновика, варианта или редакции документа, его части, приложения к документу, умолчанияэтогофакта и попытки подмены утраченных материалов;
• сообщения содержания проекта конфиденциального или открытого документа постороннему лицу, несанкционированного копирования документа или его части (в том числе на неучтенной дискете);
• утечки информации по техническим каналам;
• ошибочных действий работника службы КД, особенно в части нарушения разрешительной системы доступа к документам.
Передача конфиденциальной информации по деловой необходимости партнерам, посредникам, работникам государственных учреждений допускается только в случаях, установленных законодательством или соответствующим пунктом в контракте, и только по их письменному запросу с указанием конкретного состава и назначения требуемых сведений. Информация передается им всегда в письменном виде за подписью первого руководителя фирмы и с информированием об этом руководителя службы безопасности. Передача конфиденциальных сведений в устной формене разрешается.
Исполнение конфиденциальных документов, в отличие от исполнения открытых документов, представляет собой стадию, насыщенную различными технологическими этапами и процедурами. Выделяются следующие основные этапы:
• установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ;
• оформление и учет носителя для документирования выделенного комплекса конфиденциальной информации;
• составление вариантов и черновика текста документа;
• учет подготовленного черновика конфиденциального документа;
• изготовление проекта конфиденциального документа;
• издание конфиденциального документа. Указанные этапы характеризуются не только регламентированной технологией, но и жесткими правилами работы исполнителей с конфиденциальной информацией. Сам факт запечатления ценной информации на носителе предполагает наличие защитныхмерв отношении информации и носителя от различных рисков.
Общеизвестно, что в наибольшей безопасности находится конфиденциальная информация, не зафиксированная ни на каком носителе. Угрозы ценной информации появляются немедленно при возникновении мысли о необходимости ее документирования. В связи с этим система защиты конфиденциальной информации должна начинать функционировать не после издания (подписания) конфиденциального документа, а заблаговременно, т.е. до момента нанесения на чистый лист бумаги первых письменных знаков будущего документа. Перед реализацией мысли о создании документа первоначально решаются вопросы: а) является ли данная информация конфиденциальной и, если да, то б) какой уровень грифа конфиденциальности ей должен быть присвоен.
Своевременное установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ, является первым и основным элементом защиты документированной информации, позволяющим обеспечить относительно надежную безопасность тайны фирмы.
В основе присвоения документу грифа конфиденциальности должны лежать перечень конфиденциальных сведений фирмы, требования партнеров, условия контрактов, а также перечень конфиденциальных документов фирмы. Система грифования (маркирования) документов не гарантирует сохранности информации, однако позволяет четко организовать работу с документами и, в частности, сформировать систему доступа к документам персонала.
Гриф конфиденциальности или гриф ограничения доступа к традиционному, машиночитаемому или- электронному документу представляет собой реквизит (элемент, служебную отметку, помету, пометку) формуляра документа, свидетельствующий о конфиденциальности содержащихся в документе сведений и проставляемый на самом документе и (или) сопроводительном письме к нему.
Информация и документы, отнесенные к коммерческой тайне, имеют несколько уровней грифа ограничения доступа, соответствующих различным степеням конфиденциальности информации.
Первый, массовый, уровень — грифы «Конфиденциально», «Конфиденциальная информация». Не следует ставить гриф «Коммерческая тайна», так как грифом обозначается не вид тайны, а характер ограничения доступа к документу.
Второй уровень достаточно редкий — грифы «Строго конфиденциально», «Строго конфиденциальная информация», «Конфиденциально. Особый контроль». Этот гриф присваивается документу лично первым руководителем фирмы, им изменяется или отменяется. Исполнение, использование и хранение документов с этим грифом также организуется первым руководителем с возможным привлечением руководителя службыКД. Исполнителям документы с этим грифом не передаются.
На документах, содержащих сведения, отнесенные к служебной тайне, ставится гриф «Для служебного пользования» или «Конфиденциально».
Гриф ограничения доступа, указываемый на документе, пишется полностью и не сокращается. Под обозначением грифа указывается номер экземпляра документа, срок действия грифа и иные условия его снятия. Гриф располагается в соответствии с ГОСТ Р 6.30-97 на первом и титульном листах документа, а также на обложке дела (тома) в правом верхнем углу. На электронных документах и документах, записанных на любых машинных носителях, гриф обозначается на всех листах. Ниже грифа или ниже адресата могут обозначаться ограничительные пометы типа: «Лично», «Только в руки», «Только адресату», «Лично в руки» и др. При регистрации конфиденциальных документов к его номеру добавляется сокращенное обозначение грифа конфиденциальности, например: № 37к, 89ск, 97дсп.
Документы и информация, конфиденциальные в целом (например, документация службы персонала, службы безопасности, документы, отнесенные к профессиональной тайне, и т.д.), как правило, не маркируются, потому что в полном объеме обладают строгим ограничением доступа к ним персонала.
На ценных, но неконфиденциальных документах может проставляться помета (отметка, надпись, штамп), привлекающая особое внимание к сохранности таких документов. Например: «Собственная информация фирмы», «Информация особого внимания», «Копии не снимать», «Хранить в сейфе» и др. Может ставиться штамп, что данная информация без согласия фирмы не может быть использована в каких-либо коммерческих целях и по миновании надобности должна быть возвращена собственнику. Гриф или штамп обязательно проставляются при направлении конфиденциальной для фирмы информации в государственные учреждения, которые обязаны держать ее в тайне.
Гриф конфиденциальности присваивается документу:
• исполнителем при подготовке к составлению проекта документа;
• руководителем структурного подразделения (направления деятельности) или руководителем фирмы при согласованииилиподписании документа;
• работником службы КД при первичной обработке поступающих документов, если конфиденциальный для фирмы документ не имеет грифа ограничения доступа.
Изменение или снятие грифа конфиденциальности документа производится при изменении степени конфиденциальности и ценности содержащихся в нем сведений. Основаниями для этих действий являются: соответствующая корректировка перечней конфиденциальных сведений или документов фирмы; истечение установленного срока действия грифа; наличие события, при котором гриф должен быть изменен или снят (например: опубликование ноу-хау в печати, патентование изобретения и др.); установление факта неправильности присвоения грифа документу.
Руководители всех рангов и исполнители несут персональную ответственность за своевременное и правильное установление, изменение и снятие грифа конфиденциальности. Фактическое изменение или снятие грифа осуществляет должностное лицо, подписавшее (утвердившее) документ, а также первый руководитель фирмы.
Процедуры изменения и снятия грифа конфиденциальности с документов фирмы должны быть четко регламентированы. В целях своевременного информирования соответствующих должностных лиц о необходимости выполнения этих процедур сотрудник службы КД должен регулярно просматривать учетные карточки или инвентарные описи конфиденциальных документов и выявлять те документы, по которым могут быть изменены характеристики ограничения доступа. При изменении иди снятии грифа полномочное должностное лицо делает отметку на самом документе и в сопроводительном письме путем зачеркивания грифа или написания нового, указания основания для выполнения этого действия и проставления подписи и даты. В соответствии с этой отметкой делаются необходимые записи в учетной форме документа. После снятия грифа документ передается в службу открытого делопроизводства фирмы. При необходимости об изменении или снятии грифа конфиденциальности с документа сообщается заинтересованным фирмам и предприятиям.
Другим принципиально важным вопросом, решаемым заблаговременно руководством фирмы, службой КД и исполнителями, т.е. до начала составления текста документа, является определение необходимости предварительной регистрации носителя (листов бумаги, специальных тетрадей и блокнотов с отрывными листами, листов ватмана, фотопленки, магнитных носителей и т.п.), на котором будет формироваться черновик и беловик документа.
Назначение учета носителей конфиденциальной информации состоит в том, чтобы обеспечить безопасность информации, контроль за ней не только в подлиннике документа, но и во всех черновых материалах, вариантах и редакциях документа, отдельных записях и подготовительных материалах. На чистом носителе информации ставится избранный гриф конфиденциальности будущего документа.
Носителями документированной конфиденциальной информации могут быть:
• для традиционных текстовых документов — специальный блокнот с отрывными листами и корешком, выполняющим функцию учета листов, нанесения отметок о целевом их использовании; рабочая тетрадь для больших по объему документов; отдельные пронумерованные листы бумаги, типографские формы и бланки документов;
• для чертежно-графических документов — пронумерованные листы ватмана, кальки, пленки, координатной бумаги и т.п.;
• для машиночитаемых документов — маркированные и пронумерованные магнитные ленты, диски, дискеты, карты и т.п.;
• для аудио- и видеодокументов — маркированные и пронумерованные кассеты с магнитной пленкой, лазерные диски, кассеты с кинопленкой и т.п.;
• для фотодокументов — маркированные и пронумерованные кассеты с фотопленкой, фотобумага, микрофиши, слайды, кассеты с микрофотопленкой.
Основные задачи учета носителей конфиденциальной информации или, как часто их называют в научной литературе, — документов предварительного учета:
• закрепление факта присвоения носителю категории конфиденциальности, ограниченного доступа;
• присвоение носителю учетного номера и включение его в справочно-информационный банк для обеспечения контроля за использованием и проверки наличия;
• документирование фактов перемещения носителя между сотрудниками фирмы, закрепление персональной ответственности за его сохранность;
• контроль работы исполнителя над документом и своевременного уничтожения носителя или его частей, потерявших практическое значение.
При учете носителей реализуются следующие требования обеспечения защиты информации:
• формирование основы для последующей персональной ответственности сотрудника за сохранность носителя, повышенного внимания к нему;
• предупреждение возможности нецелевого использования носителя или его неправильного хранения;
• формирование грифа конфиденциальности будущего документа;
• предупреждение возможности тайной подмены носителя, изъятия из него или включения в него отдельных частей (листов, кусков фото-, видео- или магнитной пленки), для чего фиксируются технические характеристики носителя (количество листов, длина ленты, наличие склеек и др.);
• предупреждение технической возможности тайной разборки кассет, пеналов, футляров, конвертов и иных оболочек, содержащих технические носители информации;
• включение носителя в сферу регулярного контроля сохранности и местонахождения.
В службах КД коммерческих фирм бумажные носители текстовой и технической информации ставятся на инвентарный (перечневый) учет. Специальный учет носителей текстовой информации не ведется. Кроме того, в этих структурах учет носителей целесообразен только на уровне руководства фирмы, так как именно здесь концентрируется вся действительно ценная информация. На уровне исполнителей документирование элементов конфиденциальной информации ведется на неучитываемых предварительно носителях. Однако не следует думать, что неучитываемый носитель — это любой кусок бумаги, на котором можно фиксировать конфиденциальные сведения и который затем можно смять и выбросить в мусорную корзину. Неучитываемый носитель — это блокнот или тетрадь с пронумерованными листами, наличием заверительной надписи и росписью целевого использования каждого листа. Обязательно учитываются типовые формы и бланки документов. На чистых листах бумаги ставится штамп службы КД, листы нумеруются. У носителя может отсутствовать учетный номер, но в опись документов, находящихся у исполнителя, он обязательно вносится. Исполнитель в любой момент должен быть готов отчитаться об использовании каждого листа.
В производственных и исследовательских фирмах, обладающих оригинальными технологиями и производственными секретами типа «ноу-хау», конфиденциальные документы на всех уровнях управления целесообразно составлять только на предварительно учтенных носителях информации.
Обязательному инвентарному учету и маркировке на всех уровнях управления подлежат магнитные носители информации, для которых любые угрозы представляют значительно большую опасность, чем для бумажных, а обнаружение реализации этих угроз возможно только на основе сложных аналитических наблюдений. Маркировка предусматривает нанесение на носитель инвентарного номера, даты регистрации, наименования структурного подразделения и фамилии исполнителя. Надписи делаются механически стойким красителем. Одновременно этим же веществом окрашиваются винты и иные детали, скрепляющие корпус кассеты, дискеты или футляра с целью сигнализации об их несанкционированном вскрытии.
Этапы оформления и учета носителей конфиденциальной информации, выдачи их исполнителям и приема от исполнителей Выполняются в службе КД как в традиционном, так и автоматизированном режимах и включают в себя следующие процедуры:
• первичное оформление носителя, в процессе которого выполняются специализированные операции, позволяющие в дальнейшем контролировать подлинность носителя и сохранность всех его элементов;
• традиционный или автоматизированный учет носителя, при котором документируется факт включения носителя в категорию носителей ограниченного доступа с присвоением ему инвентарного номера;
• окончательное оформление носителя, в процессе которого учетные данные переносятся на носитель и его составные части для их идентификации;
• выдача учтенного, укомплектованного носителя информации исполнителю, закрепление за исполнителем персональной ответственности за сохранность носителя, его целостность и целевое использование;
• выдача исполнителю при необходимости дополнительных учтенных листов, форм и бланков;
• прием от исполнителя носителя информации, в процессе которого проверяются комплектность носителя, наличие оправдательных отметок за отсутствующие элементы и документирование факта передачи носителя в службу КД;
• ежедневная проверка правильности учета носителей и их наличия.
При работе с исполнителями работник службы КД педантично решает следующие задачи обеспечения защиты информации:
• предотвращение выдачи носителя лицу, не связанному с составлением конкретного документа или исключенному из состава лиц, допускаемых к данному носителю (составляемому документу);
• выявление факта утраты носителя или его частей, организация поиска носителя и проведения служебного расследования;
• предотвращение нарушения принципа персональной ответственности за сохранность носителя и фиксируемой в нем информации;
• обнаружение факта подменыносителя другим, фальсификации части носителя;
• обнаружение фактов случайной или умышленной порчи носителя» изменения формата, нумерации листов, вырывания листов,их загрязнения, склеивания и т.п.);
• предотвращение несанкционированной и неоправданной деловой необходимостью передачи носителя между руководителями и исполнителями;
• предотвращение несанкционированного ознакомления посторонних лиц с содержанием информации, зафиксированной на носителе, в процессе его выдачи исполнителю и прием от исполнителя.
Следовательно, до начала составления черновика конфиденциального документа должен быть выполнен ряд принципиально важных технологических этапов обеспечения сохранности тайны фирмы, которые дают возможность в будущем свести к минимуму риск утраты ценной информации, чье документирование пока только предполагается.
Этап составления текста конфиденциального документа методически мало отличается от аналогичной творческой, формальнологической и технической работы, проводимой при формировании содержания открытого документа. Однако исполнителю следует всегда помнить, что конфиденциальная информация документируется только при наличии серьезных объективных потребностей, а не субъективного желания сотрудника фирмы. Конфиденциальные документы составляются в строго определенных случаях, например: когда процесс или результат какой-то работы подлежит обязательному отражению в конкретных документах (обязательному документированию) или когда наличие этих документов или переписки диктуется реальной необходимостью, т.е. отсутствием условий для решения конфиденциального вопроса путем личного (но не телефонного) общения между партнерами.
Работникам службы КД необходимо знать, что контроль за работой персонала фирмы с любыми конфиденциальными документами, особенно в процессе документирования конфиденциальной информации, — это одна из главных их задач. Ответственное отношение сотрудников фирмы к своим обязанностям в значительной степени гарантирует сохранность тайны фирмы даже при отсутствии дорогостоящих и современных технических средств защиты конфиденциальной информации.
Составление текстов особо ценных конфиденциальных документов обычно централизуется на уровне руководства фирмы. Менее значимые конфиденциальные документы по отдельным функциональным вопросам составляются децентрализованно руководителями структурных подразделений (направлений деятельности) фирмы и иногда допущенными к этой работе исполнителями (опытными менеджерами, экспертами). Любые черновики, варианты, редакции конфиденциальных документов (в том числе электронных), относящиеся к ним материалы, записи, записки и т.п. составляются на заблаговременно подготовленных носителях.
При документировании конфиденциальной информации следует учитывать, что:
• объем включаемых в документ конфиденциальных сведений должен быть минимальным и определяться реальной ситуацией;
• документ всегда должен касаться только одного вопроса (темы), что важно не столько для быстрого доведения документа до исполнителя, сколько для обеспечения четкого функционирования системы доступа персонала к конфиденциальной информации, необходимой только данному сотруднику, и предотвращения несанкционированного ознакомления сотрудников фирмы и иных лиц с излишней информацией;
• необходимо заблаговременно предусмотреть, чтобы сводные плановые, организационные, распорядительные (особенно приказы по основной деятельности), отчетные и другие подобные документы, составляемые в виде сложных многоадресных схем текстовой части заданий и исполнителей, в полном объеме не рассылались по подразделениям и исполнителям; такие документы доводятся до исполнителей избирательно, в виде составленных в рамках этих документов функциональных персонифицированных приложений-заданий или отдельных документов; документы, сохраняющие исторически сложившуюся сложную, многостраничную традиционную форму текста, являются серьезным каналом утраты ценной информации;
• информация, относящаяся к тайне фирмы, должна быть максимальным образом локализована в конкретной части документа, его разделе, приложении, отдельной дискете, электронном массиве с усложненной системой доступа (например, большой по объему неконфиденциальный документ может иметь раздел, выделенный в отдельную часть и содержащий комплекс информации ограниченного доступа);
• включаемые в документ конфиденциальные фотоиллюстрации, графики, схемы и т.п. наклеиваются на учтенные листы, их количество оговаривается в сопроводительном письме или специальной записи;
• не допускается снимать копии и делать выписки из ранее изданных конфиденциальных документов без разрешения соответствующего должностного лица или организации-автора;
• конфиденциальные показатели (формулы, выводы, результаты наблюдений, опытов, описания технологических процессов и т.п.) должны фиксироваться в документе только один раз; при необходимости повторного их описания делается ссылка на документ, в котором они были ранее отражены;
• в неконфиденциальных документах не допускаются намеки на наличие конфиденциальных сведений или их описание в произвольной форме;
• сопоставление плановых и отчетных показателей деятельности фирмы, результаты перспективных маркетинговых исследований, аналитические выводы по производству и продаже продукции, параметры новой технологии, характеристики ноу-хау и т.п. допускается документировать и хранить только на уровне первого руководителя фирмы в документах, делах, базах данных с грифом «Строго конфиденциально»;
• не допускается включение в неконфиденциальные документы сведений, составляющих интеллектуальную собственность или коммерческую тайну других фирм или лиц (даже при отсутствии соответствующего пункта в договоре о сотрудничестве);
• для обеспечения высокого уровня конфиденциальности документов, пересылаемых обычной почтой, передаваемых по незащищенным каналам связи и хранящимся в компьютерах, целесообразно решить вопрос о шифровке информации.
Документирование конфиденциальной информации это более сложный процесс по сравнению с аналогичной работой по составлению открытого документа, что определяется объективной необходимостью создать условия для обеспечения сохранения в тайне сведений, включаемых в документ.
Следовательно, подготовка проекта конфиденциального документа представляет собой трудоемкий процесс из-за необходимости выполнения дополнительных вспомогательных этапов, не свойственных аналогичной работе над открытым документом. Эти этапы имеют важное значение для обеспечения защиты информации при подготовке конфиденциального документа и предусматривают установление грифа конфиденциальности будущего документа, оформление и учет его носителя.
