В чем заключается особенность работы с конфиденциальными документами

Опубликовано: 03.10.2024

В нормативных документах делопроизводство (документационное обеспечение управления) рассматривается как деятельность, обеспечивающая документирование и организацию работы с документами. При этом под документированием понимается процесс подготовки и издания документов, под организацией работы с документами – их учет, хранение, прохождение, исполнение, классификация, систематизация, проверка, подготовка к архивному хранению, уничтожению.

В организации всегда имеются документы, утечка содержания которых нежелательна или просто опасна, так как может быть использована прямо или непосредственно во вред их авторам. Такая информация и соответственно документы, содержащие ее, считаются конфиденциальными. Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите. Особенностью конфиденциального документа является то, что он представляет собой одновременно не только саму информацию - обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и утечки. Конфиденциальный документ содержит сведения, не относящиеся к государственной тайне, а составляющие интеллектуальную собственность юридического или физического лица. То есть конфиденциальна, прежде всего, информация, а уже затем становятся конфиденциальными и документы, в которых эта информация зафиксирована.

Конфиденциальное делопроизводство следует определять как деятельность, обеспечивающую документирование конфиденциальной формации, организацию работы с конфиденциальными документами и защиту содержащейся в них информации. Конфиденциальное делопроизводство - система обработки и хранения конфиденциальных документов, основанная на использовании различных методов работы с документами. Система является универсальной. Она надежно, долговременно обеспечивает защиту документированной информации, как в обычных, так и в экстремальных ситуациях. Система одинаково эффективно оперирует как бумажными, так и машинными документами, факсимильными и электронными.

Конфиденциальное делопроизводство распространяется также на документы, содержащие коммерческую и служебную тайну. При этом к документам, составляющим служебную тайну, отнесенные только документы с грифом «Для служебного пользования», т.к. документы, содержащие коммерческую тайну других субъектов, должны обрабатываться и защищаться в режиме коммерческой тайны. Объединение конфиденциальных документов, содержащих коммерческую и служебную тайну, одним делопроизводством обусловлено тем, что эти документы почти полностью идентичны по технологическим процедурам составления, обработки, обращения, хранения и защиты.

Конфиденциальное делопроизводство шире открытого и по своим задачам должно осуществлять решение двух задач в деятельности организации, осуществляющей работу с конфиденциальной информацией:

- документационное обеспечение всех видов деятельности;

- защиту документированной информации, образующейся в процессе деятельности.

Первая задача имеет своей целью организацию и бесперебойное функционирование деятельности в сфере любого вида производства и управления. Это требует от делопроизводства обеспечения нужд деятельности полной, своевременной и достоверной информацией, организации исполнения и использования документов. Полноту информации в документе характеризует ее объем, который, с одной стороны, должен быть достаточным для принятия управленческих решений и выполнения производственных заданий, с другой стороны, являться действительно необходимым, не содержащим избыточной, не нужной для деятельности организации информации.

Организация исполнения документов включает в себя и оперативное доведение их до исполнителей, и обеспечение своевременного и качественного решения содержащихся в документах вопросов, и состоит в обеспечении как текущего, так и оперативного использования информации.

Помимо документационного обеспечения управленческой и производственной деятельности конфиденциальное делопроизводство решает другую, не менее важную задачу - обеспечение сохранности носителя и конфиденциальности информации. Эта задача выполняется за счет: автономности функционирования указанной технологической системы, ее изолированности от аналогичных систем, связанных с обработкой других, в том числе открытых документов; операционного учета всех технологических действий, производимых с документом или чистым носителем информации; учета и обеспечения сохранности не только документов, но и учетных форм; персональной ответственности сотрудников за сохранность документа и тайну информации; наличия разрешительной системы доступа к документам; постоянного контроля за наличием, комплектностью и правильностью использования документов.

Вторая задача имеет своей целью обеспечение сохранности и конфиденциальности документированной информации, что требует создания и поддержания специальных условий хранения, обработки и обращения документов, гарантирующих надежную защиту, как самих документов, так и содержащейся в них информации. Назначение конфиденциального делопроизводства определяют его организационные и технологические особенности, к числу основных из которых относятся:

  • письменное нормативное закрепление общей технологии документирования, организации работы с документами и их защиты;
  • строгое регламентирование состава издаваемых документов и содержащейся в них информации, в том числе на стадии подготовки черновиков и проектов документов;
  • обязательный поэкземплярный и полистный учет всех, без исключения, документов, проектов и черновиков;
  • максимально необходимая полнота регистрационных данных о каждом документе;
  • фиксация прохождения и местонахождения каждого документа;
  • проведение систематических проверок наличия документов;
  • разрешительная система доступа к документам и делам, обеспечивающая правомерное и санкционированное ознакомление с ними;
  • строгие требования к условиям хранения документов и обращения с ними, которые должны обеспечивать сохранность и конфиденциальность документированной информации;
  • регламентация обязанностей лиц, допущенных к работе с конфиденциальной документированной информацией, к ее защите;
  • персональная ответственность за учет, сохранность документов и порядок обращения с ними.

Ведение конфиденциального делопроизводства осуществляется в структурном подразделении организации – службе (подразделении) конфиденциальной документации или в некрупных организациях возлагается на управляющего делами, специалиста по безопасности или секретаря-референта (референта) руководителя.

По видам работ конфиденциальное делопроизводство отличается от открытого, с одной стороны, большим их количеством, с другой - содержанием и технологией выполнения многих видов. Помимо этого, третья составляющая конфиденциального делопроизводства - защита содержащейся в конфиденциальных документах информации - вообще не предусмотрена в определении открытого делопроизводства, хотя определяемая собственником часть открытой информации должна защищаться от утраты. Конфиденциальная информация должна защищаться и от утраты, и от утечки. Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа, независимо от того, работают или не работают такие лица в данной организации.

Особенностью конфиденциального делопроизводства является и своеобразное переплетение некоторых функций, которые на первый взгляд как бы взаимоисключают друг друга. В частности, функциями по реализации задачи документационного обеспечения конфиденциальной деятельности являются создание документов, необходимых и достаточных для такой деятельности, предоставление каждому пользователю всех документов, требующихся для выполнения должностных обязанностей, параллельными им функциями по реализации задачи защиты конфиденциальной информации - предотвращение необоснованного издания и рассылки документов, исключение необоснованного ознакомления с документами.

На самом деле применительно к документированию это означает, что конфиденциальная деятельность должна обеспечиваться минимальным количеством документов при сохранении полноты и достоверности информации, применительно к организации документооборота - предоставление пользователям всех необходимых документов, но только тех, которые действительно требуются для выполнения должностных обязанностей.

В опросы защиты конфиденциальной информации актуальны для каждого современного предприятия. Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Важно понимать, какие данные нуждаются в защите, определить способы и методы организации информационной безопасности.

Данные, нуждающиеся в защите

Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:

  • коммерческая тайна;
  • производственная документация секретного характера;
  • ноу-хау компании;
  • клиентская база;
  • персональные данные сотрудников;
  • другие данные, которые компания считает нужным защитить от утечки.

Какие сведения составляют коммерческую тайну и как их обезопасить? Подробнее.

Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:

  • определение перечня активов, подлежащих защите;
  • разработка документации, регламентирующей и ограничивающей доступ к данным компании;
  • определение круга лиц, которым будет доступна КИ;
  • определение процедур реагирования;
  • оценка рисков;
  • внедрение технических средств по защите КИ.

Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).

Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:

  • при каких условиях информация относится к служебной, коммерческой, другой тайне;
  • обязательность соблюдения условий конфиденциальности;
  • ответственность за разглашение КИ.

Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).

Полный перечень документов, которые регламентируют подходы к безопасности информации. Смотреть.

Защита конфиденциальной информации на практике

В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).

Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.

Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита – это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди – основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.

Защита информации на предприятии

При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.

Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.

Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.

В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.

IT-защита информации

Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.

Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.

Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.

Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.

Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.

DLP-систему «КИБ СёрчИнформ» можно интегрировать с SIEM-решениями. Это усилит эффект от двух продуктов.

DLP-системы для предотвращения утери данных

Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. DLP-системы (Data Loss Prevention) – это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:

  • USB-разъемы;
  • локально функционирующие и подключенные к сети принтеры;
  • внешние диски;
  • сеть Интернет;
  • почтовые сервисы;
  • аккаунты и др.

Основное предназначение DLP-системы – контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.

DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.

Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.

Специализированные DLP-системы – это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:

  • частных сведений;
  • интеллектуальной собственности;
  • финансовых данных;
  • медицинской информации;
  • данных кредитных карт и др.

SIEM-системы

Эффективным способом обеспечения информационной безопасности специалисты считают программу SIEM (Security Information and Event Management), позволяющую обобщить и объединить все журналы протекающих процессов на различных ресурсах и других источниках (DLP-системах, ПО, сетевых устройствах, IDS, журналах ОС, маршрутизаторах, серверах, АРМ пользователей и др.).

Если угроза не была выявлена своевременно, при этом существующая система безопасности сработала с отражением атаки (что происходит не всегда), «история» таких атак впоследствии становится недоступной. SIEM соберет эти данные во всей сети и будет хранить на протяжении определенного отрезка времени. Это позволяет в любой момент воспользоваться журналом событий с помощью SIEM, чтобы использовать его данные для анализа.

Кроме того, эта система позволяет использовать удобные встроенные средства с целью анализа и обработки произошедших инцидентов. Она преобразовывает трудночитаемые форматы информации о происшествиях, сортирует их, выбирает самые значимые, отсеивает незначительные.

В особых правилах SIEM прописаны условия для накопления подозрительных событий. Она сообщит о них при накоплении такого их количества (три и более), которое свидетельствует о возможной угрозе. Пример – неверное введение пароля. Если фиксируется единичное событие введения неправильного пароля, SIEM не будет сообщать об этом, так как случаи единоразовых ошибок ввода пароля при входе в систему происходят довольно часто. Но регистрация повторяющихся попыток введения невалидного пароля во время входа в один и тот же аккаунт может свидетельствовать о несанкционированном доступе.

Любая компания сегодня нуждается в подобных системах, если ей важно сохранить свою информационную безопасность. SIEM и DLP обеспечивают полноценную и надежную информационную защиту компании, помогают избежать утечки и позволяют идентифицировать того, кто пытается навредить работодателю путем хищения, уничтожения или повреждения информации.


Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.

Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.

Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.

Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.

Выберите информацию, которую стоит защитить

Компании хотят защитить информацию, которая помогает им зарабатывать.

В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.

Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.

Есть перечень сведений, которые нельзя скрывать:

  1. Информация, которая разрешает заниматься бизнесом: учредительные документы, данные о регистрации.
  2. Сведения о том, что работа компании не вредит людям: отчеты о загрязнении окружающей среды, противопожарной безопасности компании, санитарно-эпидемиологическом состоянии производства и другие.
  3. Информация, которую законы запрещают держать в секрете: годовая бухотчетность АО, задолженность компании по налогам, потребительская информация о товаре и другие.

В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:

— Способы и принципы ценообразования

— Маркетинговые исследования и рекламные кампании

— Технологические сведения о продукции

— Особенности производственных процессов

— Информация о методах управления и внутренней организации предприятия

— Состав и квалификация персонала

— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое

— Задолженность по зарплате

— Список лиц, которые могут представлять организацию без доверенности

Защитите секретную информацию от сотрудников и сторонних партнеров

Чтобы защитить секретные данные, компании нужно пройти четыре шага:

  • Ввести режим коммерческой тайны.
  • Заключить с сотрудниками договоры на создание продуктов.
  • Защитить интеллектуальную собственность.
  • Ввести режим конфиденциальности с внешними партнерами.

Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.

Чтобы ввести режим коммерческой тайны, компании нужно:

  1. Разработать положение о коммерческой тайне и конфиденциальности.
  2. Ознакомить с ним сотрудников под подпись.
  3. Создать условия для хранения секретных документов.
  4. Обозначить всю ценную документацию грифом «Коммерческая тайна».
  5. Вести журнал доступа к конфиденциальным сведениям.

Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.

Подробнее об этом расскажем в следующих статьях.

Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату

Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.

В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.

Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.

Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.

Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.

Компания не заключила договор с сотрудником и потеряла разработанный продукт

Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.

«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.

Защитить интеллектуальную собственность компании. Вы можете защитить:

  • Объекты авторского права: видео- и аудиозаписи, литературные произведения, картины, логотипы, базы данных, программы.
  • Товарные знаки.
  • Промышленную собственность: изобретения, промышленные образцы, полезные модели.
  • Секреты производства (ноу-хау): любые сведения, имеющие потенциальную или действительную коммерческую ценность.

Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.

Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.

Режим конфиденциальности может сработать и в более мирных условиях.

Без коммерческой тайны ввести режим конфиденциальности нельзя.

Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽

По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.

Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.

Когда секретная информация защищена сама по себе

Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:

Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.

Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.

Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.

Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.

Наказать за раскрытие коммерческой тайны

Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:

В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.

Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно

Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.

Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.

В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.

Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.

ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф

ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.

Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.

Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.

Главное

Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.

Для защиты ценной информации:

  1. Введите в компании режим коммерческой тайны.
  2. Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
  3. Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
  4. Введите режим конфиденциальности с партнерами.

За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.

О сновные понятия, отражающие современную практику конфиденциального делопроизводства, нашли свое закрепление в словаре «Управление документами. Термины и определения» (М., ВНИИДАД, 2013). При построении системы работы с информацией и документами, относящимися к категории ограниченного доступа, в любой организации возможно использование данных «универсальных» определений, дающих общую характеристику и закрепляющих характерные предметные ­особенности делопроизводства, называемого конфиденциальным:

  • служебная тайна – конфиденциальная информация, создаваемая или получаемая органом власти, организацией в процессе управленческой деятельности;
  • конфиденциальная информация – информация, ограничения на доступ к которой устанавливаются ее обладателем в соответствии с законодательством Российской Федерации;
  • конфиденциальное делопроизводство (защищенное делопроизводство) – делопроизводство, обеспечивающее защиту документов, содержащих конфиденциальную информацию, от ­несанкционированного доступа на всех стадиях их жизненного цикла.

Особенности организации конфиденциального делопроизводства

Конфиденциальное делопроизводство – это деятельность, обеспечивающая документирование конфиденциальной информации, обработку, использование, оперативное хранение и уничтожение конфиденциальных документов и защиту содержащихся в них сведений.

Конфиденциальное делопроизводство строится с учетом следующих системных принципов:

  • централизация – обязательная централизованная регламентация, управление документами и операциями по их обработке (в традиционном бумажном виде и в информационных системах);
  • практическая целесообразность;
  • экономическая эффективность (технические мероприятия по ограничению доступа к конфиденциальной информации, как правило, являются более затратными, чем организационные);
  • разрешительный характер доступа;
  • добровольность – согласие обладателя информации, ее носителя, субъекта персональных данных на предоставление прав доступа к конфиденциальной / защищаемой информации.

Конфиденциальное делопроизводство, так же как и обработка персональных данных, отличаются конкретными особенностями в организации и технологии. К ним относятся:

  • обязательная и строгая нормативная регламентация, причем локальные нормативные акты организации утверждаются, вводятся в действие и изменяются распорядительными документами, подписанными первым руководителем организации (единоличным исполнительным органом, отвечающим за организацию системы управления);
  • обособленная организация на специально выделенном отдельном участке (в службе безопасности или на отдельном участке в службе делопроизводства) и в специальной информационной системе (одной или нескольких);
  • учет информации и сведений, содержащихся в документах и учет материальных носителей этих документов;
  • строгое соблюдение правил документирования, оформления реквизитов (особенно идентификационных реквизитов и ограничительных грифов), правил сбора и обработки персональных данных;
  • фиксация каждого этапа документирования и каждого этапа движения документа;
  • оперативное управление правами доступа в созданной организационной системе управления правами доступа и в применяемых информационных системах;
  • обязательное документирование разрешительной системы доступа;
  • идентификация пользователей в соответствии с правами доступа;
  • контроль и проверки на всех этапах работы с документами;
  • персональная ответственность должностных лиц организации и руководителей структурных подразделений за организацию работы с информацией ограниченного доступа, конфиденциальными ­документами и персональными данными;
  • все оперативные указания по изменению и особенностям применения утвержденных локальных нормативных актов организации по вопросам конфиденциального делопроизводства даются исключительно первым руководителем (единоличным исполнительным органом), а не его заместителями. То есть полномочия по организации и порядку применения правил конфиденциального делопроизводства не делегируются. Заместители руководителя имеют право ограничивать или разрешать доступ к конфиденциальным документам, но только в ­рамках ­утвержденных первым руководителем регламентных документов.

С целью установления режима ограничения доступа к конфиденциальной / защищаемой информации в любой организации должны быть проведены следующие мероприятия:

  • разработка перечня конфиденциальной информации, защиту которой осуществляет организация как владелец информации этой категории;
  • введение ограничения доступа к этой информации: в локальных нормативных актах устанавливается порядок обращения с этой информацией, и специально создаваемое структурное подразделение (служба безопасности), а также должностные лица и руководители ­структурных подразделений контролируют его соблюдение;
  • учет лиц, получивших доступ к конфиденциальной информации (ведение соответствующих списков руководителей, сотрудников, ролей пользователей информационных систем, руководителей и ­сотрудников организаций-контрагентов и т.п.);
  • регулирование использования конфиденциальной информации (с работниками организации и с контрагентами на основании договоров и дополнительных соглашений);
  • нанесение на документы грифов ограничения доступа / грифов конфиденциальности.

Виды тайн

«Лучшие практики» организаций показывают, что создавать централизованную систему конфиденциального делопроизводства необходимо с учетом видов тайн (т.е. категорий ограничения доступа), ­установленных действующим законодательством.

Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» предусмотрено установление для определенной информации ограничений на ее предоставление или распространение и введено понятие «информация.

Один из важнейших ресурсов любого предприятия – информация. Ее роль возрастает по мере развития бизнеса и усиления конкуренции. Владение информацией необходимого качества – полной и точной – в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет тем самым высокую цену «информационного фактора».

Собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты такого рода информационных ресурсов и правила доступа к ним.

Доступ – это получение разрешения руководителя на выдачу тому или иному сотруднику конкретных сведений с учетом его служебных обязанностей.

Регламентация доступа – установление правил, определяющих порядок доступа.

Контроль доступа – процесс обеспечения достижения оптимального уровня доступа.

В целях обеспечения правомерного доступа сотрудников фирмы к конфиденциальным сведениям, содержащимся в грифованных документах, необходимо внедрить соответствующую систему доступа:

  • Составляется перечень сведений, содержащих конфиденциальную информацию, определяется ценность того или иного документа и присваивается соответствующий гриф. Перечень доводится до сведения всех сотрудников, имеющих доступ к подобной информации, под расписку об ознакомлении.
  • Затем составляется список сотрудников, допущенных к тем или иным документам.
  • Конфиденциальная информация разбивается на блоки, каждому блоку присваивается свой код, а для каждого сотрудника разрабатывается и выдается ему на руки карта-предписание с перечнем тех кодов, по которым он может получить информацию, необходимую и достаточную для нормального выполнения его должностных обязанностей.

Система доступа должна отвечать следующим требованиям:

  • распространяться на все виды классифицированных документов;
  • определять порядок доступа всех категорий сотрудников, получивших право на ознакомление и использование документов, содержащих конфиденциальную информацию;
  • определять порядок доступа к коммерческой информации представителей различных государственных служб;
  • устанавливать надлежащий порядок оформления разрешений на доступ к конфиденциальным документам;
  • регламентировать права определенных должностных лиц на оформление доступа сотрудников;
  • исключать возможность бесконтрольной и несанкционированной выдачи грифованных документов.

Лица, допущенные к сведениям конфиденциального характера, несут ответственность за соблюдение установленного в организации режима конфиденциальности.

Для получения доступа к конфиденциальным сведениям им необходимо:

  • изучить требования инструкции и других документов по защите сведений конфиденциального характера, в части их касающейся, под подпись на самом документе;
  • заключить в управлении режима договор о допуске к конфиденциальным сведениям;
  • ознакомиться под подпись с перечнями конфиденциальных сведений, и пройти у лица, ответственного за секретное или конфиденциальное делопроизводство, индивидуальный инструктаж о правилах работы с документами, имеющими гриф «Коммерческая тайна», и пройти инструктаж о правилах работы с документами, имеющими гриф «Для служебного пользования».

Инструктаж с сотрудниками, получившими доступ, преследует конкретные цели:

  • четкое знание сотрудником объемов охраняемой информации, за безопасность которой они несут личную ответственность;
  • понимание работником характера и ценности данных, с которыми он работает, возможных способов и методов проникновения к этим данным, которыми может воспользоваться потенциальный нарушитель;
  • обучение установленным правилам и процедурам хранения и защиты коммерческих сведений.

Лица, допущенные к сведениям конфиденциального характера, обязаны:

  • строго хранить в тайне конфиденциальную информацию, ставшую им известной по службе или иным путем;
  • выполнять только те работы и знакомиться только с теми документами, к которым получили доступ в силу своих служебных обязанностей, строго соблюдать правила пользования документами, знать порядок их учета и хранения;
  • лично получать и своевременно сдавать носители конфиденциальных сведений в управление режима или лицу, ответственному за конфиденциальное делопроизводство;
  • хранить носители конфиденциальной информации только в рабочей папке, а при выходе в рабочее время из помещения рабочую папку с носителями конфиденциальных сведений запирать в сейф.

Лицам, допущенным к работам с конфиденциальными сведениями, запрещается:

  • осуществлять записи, содержащие конфиденциальную информацию, на неучтенных носителях;
  • передавать конфиденциальные сведения, а также носители этих сведений лицам, не допущенным к этим сведениям и не имеющим прямого отношения к работе с ними;
  • использовать известную конфиденциальную информацию в своих целях, а также в целях нанесения ущерба предприятию;
  • оставлять на рабочих столах носители конфиденциальных сведений, в том числе их проекты, черновики, при выходе из помещения;

Соответствующая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования.

Читайте также: