Организационная и правовая составляющие режима коммерческой тайны

 

Нельзя не отметить, что выбор превентивных мер, необходимых для обеспечения недоступности третьим лицам соответствующих ресурсов информации, составляющей коммерческую тайну, и объединение их в четко работающую систему мер информационной безопасности организации - процесс интеллектуальный и достаточно трудоемкий. Для любой коммерческой компании создание концепции ее внутренней системы защиты информационных ресурсов зависит от следующих факторов:

1) финансовые возможности компании;

2) объем информации, в отношении которой введен режим коммерческой тайны;

3) технические возможности компании;

4) наличие филиалов и дочерних структур;

5) наличие других хозяйствующих субъектов в данном секторе экономики, в том числе иностранных ("острота" конкуренции);

6) номенклатура выпускаемой продукции;

7) система внутреннего документооборота.

И здесь возможны, как минимум, три подхода к решению этой проблемы. Первый - создание собственной службы безопасности. Этот вариант приемлем только для достаточно крупных хозяйствующих субъектов - для его осуществления необходимо провести подбор квалифицированных кадров, которые смогли бы осуществлять постоянный мониторинг текущего состояния информационной безопасности фирмы и создать надежную систему контроля за использованием конфиденциальной информации и доступом к ней. Все это требует довольно значительных затрат, которые может позволить себе далеко не каждая фирма, однако в идеале только такой подход может гарантировать максимальную информационную безопасность частного бизнеса.

Второй подход, используемый, в основном, небольшими фирмами и частными предпринимателями, - привлечение сторонних структур, занимающихся предоставлением услуг по обеспечению информационной безопасности. Плюсом такого подхода является возможность широко варьировать спектр защитных мероприятий - от создания комплексной системы защиты конфиденциальной информации до проведения разовых проверок офиса на наличие "закладок" - электронных прослушивающих устройств. Очевидный минус - вы полностью полагаетесь на добросовестность привлекаемой компании. Причем, речь здесь может идти как о частных, так и о государственных структурах. Простейшим примером может служить заключение договора со службой вневедомственной охраны МВД России об установке централизованной сигнализации или организации поста круглосуточной охраны. В особом положении оказываются компании, получившие государственный заказ на разработку или выпуск продукции, имеющей стратегическое значение (например, военной). В этом случае они могут рассчитывать на содействие государственных правоохранительных органов и специализированных служб.

И последний подход - комплексный, сочетающий в себе элементы двух предыдущих, - часть функций по защите возлагается на собственную службу безопасности, часть - на привлекаемую по договору компанию, специализирующуюся на рынке оказания охранных услуг (такой подход приемлем в основном для среднего бизнеса и отдельных крупных предприятий).

При выборе любого подхода в организации службы безопасности необходимо разработать и утвердить пакет внутренних нормативных документов (локальных актов), регламентирующих все аспекты деятельности сотрудников компании при обращении с конфиденциальной информацией независимо от материальных форм ее представления (регламент обеспечения безопасности). Стандартный регламент должен урегулировать такие вопросы, как:

1) организацию подразделения, ответственного за защиту конфиденциальной информации (службы безопасности (СБ) или специально выделенного сотрудника, на которого возложены функции СБ);

2) права, обязанности и функции СБ;

3) определение перечня сведений, составляющих коммерческую тайну, установление категории конфиденциальности информации и работ, порядок изменения категории конфиденциальности работ и информации;

4) регламентация учета, хранения и обращения носителей информации, составляющей коммерческую тайну;

5) порядок допуска сотрудников к носителям конфиденциальной информации;

6) определение обязанностей и ограничений, накладываемых на сотрудников, имеющих допуск к конфиденциальной информации;

7) порядок ведения конфиденциального делопроизводства;

8) порядок проведения служебного расследования по фактам утечки и разглашения конфиденциальной информации;

8) ответственность за нарушения требований регламента безопасности;

10) прочие вопросы организации защиты конфиденциальной информации.

Перечень локальных нормативных актов, составляющих регламент обеспечения безопасности (типовой).

1. Инструкция по обеспечению режима конфиденциальности на предприятии.

2. Инструкция по пропускному и внутриобъектному режиму.

3. Требования по разграничению доступа в помещения, где производится обработка и хранение конфиденциальной информации.

4. Требования к лицам, оформляемым на должности, по которым предусмотрен допуск к конфиденциальной информации.

5. Инструкции по обеспечению безопасности при обработке и хранении конфиденциальной информации с использованием средств вычислительной техники (инструкция пользователя, оператора, системного администратора).

6. Инструкция о порядке обслуживания и ремонта элементов автоматизированной системы, используемых для обработки и хранении конфиденциальной информации.

Одной из важнейших задач является организация внутреннего документооборота, который должен включать в себя учет, хранение, использование и уничтожение служебных документов, содержащих конфиденциальную информацию. В инструкцию (положение) о порядке обращения со служебными документами, содержащими коммерческую тайну, рекомендуется включить следующие положения:

1) для обеспечения режима конфиденциальности служебных документов, содержащих сведения, составляющие коммерческую тайну фирмы, на этих документах проставляется ограничительный реквизит - гриф "Коммерческая тайна";

2) все документы с грифом "Коммерческая тайна" имеют режим ограниченного распространения, подлежат регистрации (учету), надлежащему хранению и означают доступ к ним (допуск) на основе разрешений должностных лиц. Учету подлежат бумажные, магнитные и прочие виды материальных носителей конфиденциальной информации;

3) установление грифа конфиденциальности на служебных документах определяется их исполнителями (составителями) и должностным лицом, подписывающим или утверждающим документы;

4) решение вопроса о снятии ограничительных грифов с документа принимает должностное лицо, подписавшее (утвердившее) этот документ. При снятии ограничительного грифа с документа правомочное должностное лицо делает отметку на самом документе путем зачеркивания грифа с проставлением своей подписи и даты;

5) ответственность за обеспечение безопасности информации, составляющей коммерческую тайну, и порядок обращения с документами, содержащими такую информацию, возлагается на руководителей всех структурных подразделений фирмы;

6) контроль за обеспечением режима конфиденциальности сведений, составляющих коммерческую тайну, возлагается на службу безопасности фирмы (отдел информационной безопасности);

7) все поступающие документы с грифом "Коммерческая тайна" принимаются и вскрываются ответственным сотрудником службы безопасности. Поступивший конверт проверяется на целостность. У документа и всех приложений сверяются количество листов и экземпляров. При отсутствии или недостачи документов с грифом "Коммерческая тайна" составляется акт в двух экземплярах, один из которых возвращается отправителю;

8) все документы, содержащие конфиденциальную информацию (входящая корреспонденция, внутренние распорядительные документы и прочее), подлежат учету и регистрации.

Входящая корреспонденция, содержащая конфиденциальную информацию, регистрируется в "Журнале регистрации входящей корреспонденции ограниченного пользования"; внутренние документы, содержащие КИ, регистрируются в зависимости от вида документа: в "Журнале регистрации приказов", "Журнале регистрации распоряжений" и так далее, в которых проставляется отметка о конфиденциальности.

Все листы журналов, учитывающих конфиденциальные документы, нумеруются, прошиваются и опечатываются. В конце журнала в заверительном листе указывается общее количество листов прописью, ставится подпись ответственного лица, которая скрепляется печатью.

В журналах регистрации документов ограничительного пользования документу присваивается учетный номер. Каждое приложение к основному документу имеет свой учетный номер. Каждому экземпляру документа присваивается номер, количество экземпляров соответствует количеству направленных копий документа в адрес лиц, указанных в списке рассылки. Экземпляр документа, хранящийся в службе безопасности фирмы, имеет номер 1.

Конфиденциальные входящие и внутренние документы формируются в отдельные дела, дела хранятся в сейфе.

Выдача документа с грифом "Коммерческая тайна" производится на основании служебной записки с разрешающей визой начальника структурного подразделения компании и начальника службы безопасности. Выдача и возврат документов отражаются в "Журнале учета выдачи документов ограниченного пользования". Работник, получивший документ с грифом "Коммерческая тайна", должен сверить учетный номер полученного документа с номером в журнале, проверить количество листов и поставить в журнале свою подпись. Выданные для работы документы подлежат возврату в тот же день. При возврате документа ответственный работник службы безопасности сверяет номер документа по журналу, проверяет количество листов документа и в присутствии работника ставит в графе "Отметка о возврате" свою подпись и дату возврата документа.

Копирование документа с грифом "Коммерческая тайна" производится на основании наряда на размножение с разрешающей визой начальника структурного подразделения компании и начальника службы безопасности. Все копии документов берутся на учет в специальном журнале. Все бракованные копии документа подлежат немедленному уничтожению с составлением акта. Множительная техника для копирования документов конфиденциального характера должна быть оборудована счетчиком снятых копий. По окончании рабочего дня специально выделенный сотрудник службы безопасности сверяет количество снятых копий по счетчику с данными журнала размноженных документов и актами на уничтожение бракованных копий, после чего расписывается в журнале с отметкой о соответствии количества размноженных документов учетным формам;

9) документы с грифом "Коммерческая тайна", не подлежащие брошюрованию в дела, берутся на инвентарный учет с проставлением инвентарного номера и даты регистрации;

10) пересылка (отправка) документов с ограничительным грифом осуществляется по предписанию должностных лиц, которым даны на это соответствующие полномочия. Документы с грифом "Коммерческая тайна" пересылаются (отправляются) ценной заказной корреспонденцией или нарочным в двойных конвертах. Гриф "Коммерческая тайна" на внешнем конверте (пакете) не проставляется;

11) уничтожение документов с грифом "Коммерческая тайна", утративших свое практическое значение и ценность для фирмы, производится по акту лицом, ведущим данное делопроизводство, в присутствии не менее чем одного сотрудника отдела информационной безопасности (службы безопасности), по согласованию с руководителем структурного подразделения и начальником службы безопасности в соответствии со сроками и порядком, определенными номенклатурой дел, и с внесением отметок в журналах учета;

12) уничтожение документов с грифом "Коммерческая тайна" производится путем их сожжения, измельчения или другим путем, исключающим восстановление текста документа;

13) проверка наличия документов с ограничительным грифом проводится не реже одного раз в год комиссией, назначенной приказом руководителя фирмы. В состав комиссии включаются работники, ответственные за учет и хранение вышеназванных документов и имеющие допуск к ним. Результаты проверки оформляются актами. Акты подписываются членами комиссии и утверждаются руководителем фирмы;

14) при смене (увольнении, переводе на другую работу) сотрудников фирмы, ответственных за учет и регистрацию документов с ограничительным грифом, передача делопроизводства производится по акту приема-передачи, утверждаемому руководителем фирмы;

15) документы, в том числе и машинные носители, с грифом "Коммерческая тайна" в нерабочее время должны храниться в запираемых и опечатываемых металлических шкафах. Хранение в других хранилищах допускается по разрешению руководителя службы безопасности при наличии условий, обеспечивающих их сохранность.