Популярное
Свежее
Моя лента
Обзор
Курсы
Темы
Крипто
Маркетинг
Деньги
Личный опыт
Карьера
Сервисы
Право
Приёмная
Дизайн
Разработка
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Тетюнин Дмитрий Анатольевич

Корпоративная безопасность. Часть II. Коммерческая тайна: определение, ответственность, обеспечение сохранности

Корпоративная безопасность. Часть II. Коммерческая тайна: определение, ответственность, обеспечение сохранности

3. Коммерческая тайна

Понятие \"коммерческая тайна\" (далее – КТ) определена в следующих нормативно-правовых актах Российской Федерации:

1. Федеральный закон «О коммерческой тайне», принятый 29 июля 2004 года. В данном законе определено:

- информация, представляющая КТ должна быть зафиксирована на материальном носителе;

- что понимается под законным способом получения КТ (получение в результате исследований, систематических наблюдений, получение на основании договора и др.);

- сведения, которые не могут являться КТ. Можно выделить несколько групп таких сведений:

- сведения, позволяющие идентифицировать юридическое лицо или индивидуального предпринимателя (учредительные документы, документы, подтверждающие запись о юридических лицах и индивидуальных предпринимателях в соответствующих государственных реестрах, документы, дающие право на осуществление предпринимательской деятельности (лицензии), список лиц, имеющих право действовать без доверенности от имени юридического лица);

- сведения, относящиеся к работникам и условиям труда в коммерческих и некоммерческих организациях (о численности и составе работников, наличии свободных рабочих мест, о системе оплаты труда, об условиях труда, в том числе об охране труда, о задолженности работодателей по выплате заработной платы и по иным социальным выплатам, о показателях производственного травматизма и профессиональной заболеваемости);

- сведения о некоммерческих организациях (о размерах и структуре доходов и расходов, размерах и составе имущества, об использовании безвозмездного труда граждан в деятельности некоммерческой организации);

- сведения о государственных и муниципальных унитарных предприятиях, государственных учреждениях (о составе имущества, об использовании ими средств соответствующих бюджетов (смета), об условиях конкурсов, аукционов по приватизации объектов государственной или муниципальной собственности);

- сведения, связанные с выполнением требований безопасности (о загрязнении окружающей среды, о состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, о факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасность каждого гражданина и населения в целом (например, безопасность пищевых продуктов или лекарственных препаратов);

- сведения о нарушениях законодательства РФ и фактах привлечения к ответственности за совершение этих нарушений;

- сведения, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлены различными федеральными законами (например, открытые акционерные общества обязаны раскрывать информацию о годовой бухгалтерской отчетности, проспектах эмиссии акций и др).

- обязанность обладателя КТ по мотивированному требованию госоргана предоставлять им на безвозмездной основе КТ и обязанность госорганов не разглашать КТ;

- права обладателя КТ:

- устанавливать, изменять и отменять в письменной форме режим КТ;

- использовать информацию, составляющую КТ, для собственных нужд;

- разрешать или запрещать доступ к информации, составляющей КТ, определять порядок и условия доступа к этой информации;

- вводить в гражданский оборот информацию, составляющую КТ, на основании договоров, предусматривающих включение в них условий об охране конфиденциальности этой информации;

- требовать от юридических и физических лиц, получивших доступ к информации, составляющей КТ, органов государственной власти, которым предоставлена информация, составляющая КТ, соблюдения обязанностей по охране ее конфиденциальности;

- требовать от лиц, получивших доступ к информации, составляющей КТ, в результате действий, осуществленных случайно или по ошибке, охраны конфиденциальности этой информации;

- защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей КТ, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.

- обладателем информации, составляющей КТ, полученную в рамках трудовых отношений, является работодатель;

- на законодательном уровне не урегулирован вопрос: являются ли разглашением КТ действия сотрудника в процессе сотрудничества (в первую очередь негласного) с контролирующими и правоохранительными органами;

- меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

- определение перечня информации, составляющей КТ;

- ограничение доступа к информации, составляющей КТ, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

- учет лиц, получивших доступ к информации, составляющей КТ, и (или) лиц, которым такая информация была предоставлена или передана;

- регулирование отношений по использованию информации, составляющей КТ, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

- нанесение на материальные носители (документы), содержащие информацию, составляющую КТ, грифа \"Коммерческая тайна\" с указанием обладателя этой информации (для юридических лиц – полное наименование и место нахождения, для индивидуальных предпринимателей – фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

- в целях охраны конфиденциальности информации работодатель обязан:

- ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой является работодатель и его контрагенты;

- ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;

- создать работнику необходимые условия для соблюдения им установленного работодателем режима КТ.

- в целях охраны конфиденциальности информации работник обязан:

- выполнять установленный работодателем режим КТ;

- не разглашать информацию, составляющую КТ, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;

- не разглашать информацию, составляющую КТ, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось;

- возместить причиненный работодателю ущерб, если работник виновен в разглашении информации, составляющей КТ, ставшей ему известной в связи с исполнением им трудовых обязанностей;

- передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую КТ.

- руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства РФ о КТ;

- отношения между обладателем информации, составляющей КТ, и его контрагентом в части, касающейся охраны конфиденциальности информации, регулируются законом и договором.

• Следует учитывать, что претендовать на ознакомление с КТ могут в пределах своей компетенции:

- прокурор в порядке надзора и в других случаях, предоставленных ему законом;

- правоохранительные органы по возбужденному уголовному делу;

- налоговые органы;

- аудиторские фирмы (по просьбе самого владельца);

- профсоюзы;

- санэпидемстанции;

- экологические организации;

- организации и частные лица, вступающие с компанией в гражданско-правовые отношения.

2. Гражданский кодекс Российской Федерации (статьи 139, 184, 727, 771, 1032).

Статья 139 ГК РФ дает понятие служебной и коммерческой тайны, констатирует возможность ее защиты законными способами, а также обязывает возместить убытки при разглашении КТ;

Статья 184 ГК РФ (часть 3) определяет, что коммерческий представитель обязан сохранять в тайне ставшие ему известными сведения о торговых сделках, в том числе и после исполнения данного ему поручения;

Статья 727 ГК РФ определяет конфиденциальность информации, полученной сторонами по договору подряда;

Статья 771 ГК РФ определяет конфиденциальность сведений, составляющих предмет договора на выполнение научно-исследовательских, опытно-конструкторских и технологических работ;

Статья 1032 ГК РФ определяет, что по договору коммерческой концессии, пользователь обязан не разглашать секреты производства правообладателя и другую полученную от него конфиденциальную коммерческую информацию.

3. Трудовой кодекс Российской Федерации (статья 57)

В статье 57 ТК определено, что в трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны – государственной, служебной, коммерческой и иной.

Необходимо помнить, что по законодательству РФ:

- существует запрет на отнесение определенной информации к КТ. Например, в соответствии со статьей 19 ФЗ «О благотворительной деятельности и благотворительных организациях» сведения о размерах и структуре доходов благотворительной организации, а также сведения о размерах ее имущества, ее расходах, численности работников, об оплате их труда и о привлечении добровольцев не могут составлять КТ;

- в обязательном порядке к КТ относится ряд сведений, например, содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности (статья 10 ФЗ \"О бухгалтерском учете\"), сведения, составляющие коммерческую тайну в негосударственных пенсионных фондах (статья 15 ФЗ \"О негосударственных пенсионных фондах\");

- установлены специальные случаи прекращения права на КТ, например, с момента принятия арбитражным судом решения о признании должника банкротом сведения о финансовом состоянии должника прекращают относиться к категории сведений, носящих конфиденциальный характер либо являющихся КТ (ФЗ \"О несостоятельности (банкротстве)\"), с момента вынесения арбитражным судом решения о ликвидации кредитной организации сведения о финансовом состоянии кредитной организации перестают быть отнесенными к категории сведений, носящих конфиденциальный характер либо являющихся КТ (ФЗ «О банках и банковской деятельности»).

Признаки и особенности коммерческой тайны:

- коммерческая ценность;

- недоступность;

- охраняемость;

- не требует официального признания ее охраноспособности, государственной регистрации или выполнение каких-либо иных формальностей, уплаты государственных пошлин;

- неограниченность срока охраны.

Методы определения КТ компании:

тотальный – сущность этого метода заключается в том, что КТ компании признается все, за исключением информации, которая не может являться КТ по соответствующему ФЗ. Этот способ наиболее прост и наименее эффективен, так как реализация мер по защите КТ, определенной таким способом, будет затруднительна и мешать работоспособности компании;

плагиаторский – данный метод основан на том, что необходимо выяснить, какую именно информацию аналогичные профильные компании считают КТ и поступить так же. Претворение данного способа в жизнь как правило затрудняется тем, что при определении КТ очень мало универсальных положений, которые подходят абсолютно всем;

аналитический – метод заключается в \"ролевых играх\" и давно используется психологами, следователями, маркетологами и многими другими. Сущность его заключается в анализе, какая именно информация могла бы заинтересовать конкурентов или недоброжелателей и разглашение какой информации принесет компании убытки;

экспертный – приглашение независимых экспертов. Наиболее эффективный, но и самый дорогостоящий метод.

КТ это:

- сведения о производстве (структура кадров и производства, характер производства, условия производства, организация труда, сведения о производственных возможностях компании, данные о типе и размещении оборудования и т.д);

- информация управленческого характера (сведения о перспективных методах управления);

- плановые документы (планы развития, планы инвестиций компании, планы запасов и готовой продукции, план закупок и продаж и т.д.);

- финансовые сведения;

- данные по рынку (состояние рынков сбыта, обзоры рынка, рыночная стратегия, коммерческие замыслы, коммерческо-политические цели и т.д.);

- сведения о партнерах (клиентура, покупатели, поставщики, посредники и потребители, негласные компаньоны, коммерческие связи и т.д.);

- информация о переговорах (сведения о фактах подготовки и ведения переговоров, сроки, выделенные для проработки и заключения сделки, сведения о лицах, ведущих переговоры, руководстве компании, их характеристики и т.д.);

- контракты (условия по сделкам и соглашениям, условия контрактов, особые условия контрактов, условия платежа по контрактам и т.д.);

- ценовая информация (сведения об элементах и расчетах цен, структура цены, скидки и т.д.);

- торги, аукционы;

- информация технологического характера (сведения, связанные с технологической информацией, технологические достижения и т.д.).

Ответственность за разглашение КТ

Уголовная ответственность

ч. 1 ст. 183 УК РФ определено, что за собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений предусмотрен штраф до 80 000 рублей или в размере дохода осужденного за период от 1 до 6 месяцев или лишение свободы на срок до двух лет.

Для наступления уголовной ответственности достаточно самого факта собирания сведений, составляющих коммерческую или служебную тайну, независимо от наступления вредных последствий.

ч. 2 ст. 183 УК РФ определено, что за незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до трех лет.

ч. 3 ст. 183 УК РФ определено, что те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до пяти лет.

ч. 4 ст. 183 УК РФ определено, что деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, наказываются лишением свободы на срок до десяти лет.

• Однако реально возможно применить данную статью при условии, если:

- обязанность работника хранить КТ была предусмотрена трудовым договором;

- составлен перечень сведений, составляющих КТ компании, и утвержден ее руководством;

- данный перечень доведен до сведения работника под роспись.

Административная ответственность

ст. 13.14. КоАП РФ определено, что разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц – от сорока до пятидесяти минимальных размеров оплаты труда.

Дисциплинарная ответственность

ст. 81 ТК РФ предусмотрено расторжение трудового договора по инициативе работодателя в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.

- в соответствии с ТК РФ за нарушение установленных правил работы (в том числе с КТ) может быть наложено одно из дисциплинарных взысканий (замечание, выговор)

При наложении дисциплинарного взыскания следует помнить, что:

- дисциплинарное взыскание может быть применено работодателем только в случае, если трудовым договором установлена обязанность данного работника не разглашать информацию, составляющую КТ;

- до применения дисциплинарного взыскания работодатель должен затребовать от работника объяснения о случившемся в письменной форме. В случае отказа работника дать указанное объяснение составляется соответствующий акт;

- с приказом о наложении дисциплинарного взыскания работник должен быть ознакомлен под расписку в течение трех рабочих дней со дня его издания;

- наложение взыскания возможно не позднее 1 месяца со дня обнаружения проступка и не позднее 6 месяцев со дня его совершения. Днем обнаружения считается день, когда лицу, которому по работе (службе) подчинен работник (например, начальнику отдела), стало известно о совершении проступка, независимо от того, наделено ли оно правом наложения дисциплинарных взысканий.

Имущественная ответственность

п. 2 ст. 139 ГК РФ определено, что информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами. Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну обязаны возместить причиненные убытки в полном объеме. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну, вопреки трудовому договору, в том числе контракту.

Возмещение убытков в полном объеме в соответствии с ГК РФ:

убытки = реальный ущерб + упущенная выгода, где: реальный ущерб = фактически понесенные расходы на восстановление нарушенного права + расходы, которые лицо должно будет произвести для восстановления нарушенного права + утрата или повреждение имущества; упущенная выгода == неполученные доходы, которые лицо получило бы, если бы его права не были нарушены. Отметим, что при разглашении информации, составляющей КТ, у ее обладателя отсутствует утрата или повреждение имущества, поскольку такая информация имуществом не является. Если лицо отказывается возместить убытки в добровольном порядке, то обладатель информации, чьи права нарушены, может обратиться в суд. При этом лицу, требующему возмещения, нужно будет позаботиться о подтверждении размеров таких расходов обоснованным расчетом. Срок исковой давности для взыскания убытков в данном случае составляет 3 года и начинает исчисляться со дня, когда лицо узнало или должно было узнать о нарушении своего права.

При этом ущерб должен быть возмещен независимо от привлечения работника к дисциплинарной, административной или уголовной ответственности за действия или бездействие, которыми причинен ущерб работодателю.

Работник и лица, прекратившие трудовые обязанности с данным работодателем, освобождаются от возмещения причиненного ущерба или убытков в случаях, если разглашение информации, составляющей КТ, явилось следствием непреодолимой силы, то есть чрезвычайных и непредотвратимых при данных условиях обстоятельств (природных катаклизмов, крайней необходимости), то есть невозможности применения иных средств для устранения опасности, непосредственно угрожающей личности, охраняемым законом интересам общества или государства или неисполнения работодателем обязанности по обеспечению режима КТ.

- в соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный ему прямой действительный ущерб (в том числе и при разглашении КТ). Неполученные доходы (упущенная выгода) взысканию с работника не подлежат;

- в ст. 243 ТК РФ предусмотрена материальная ответственность в полном размере причиненного ущерба при разглашении сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную) в случаях, предусмотренных федеральными законами.

Однако следует помнить, что если информация, составляющая коммерческую тайну, попала к работнику случайно или по халатности другого сотрудника, который не предупредил о ее ценности, то наказание на этого работника наложить не смогут.

Инструкция

по обеспечению сохранности конфиденциальной информации

Оглавление:

1. Общие положения.

2. Порядок работы с конфиденциальной информацией, представленной в электронном виде.

3. Определение конфиденциальной информации и обозначение бумажных документов, содержащих конфиденциальную информацию, и сроков ее защиты.

4. Организация работы с бумажными документами, имеющих гриф «Конфиденциально».

5. Порядок обеспечения сохранности документов и дел (архивов), содержащих конфиденциальную информацию.

6. Порядок допуска к конфиденциальным сведениям.

7. Контроль за выполнением требований внутри объектового режима при работе с конфиденциальными сведениями.

8. Обязанности сотрудников Организации, работающих с конфиденциальными сведениями и их ответственность за ее разглашение.

1. Общие положения

1.1. Настоящая инструкция разработана в соответствии с требованиями законодательства Российской Федерации и учредительными документами Организации. Она предусматривает организационные и административные меры по защите конфиденциальной информации с целью предотвращения нанесения возможного экономического и морального ущерба Организации со стороны юридических и физических лиц, вызванного их неправомерными или неосторожными действиями путем присвоения или разглашения конфиденциальной информации.

1.2. Под конфиденциальной информацией понимается сведения, связанные с задачами, решаемыми Организацией в соответствии с учредительными документами, информация, связанная с управлением, финансами и другими сферами деятельности Организации, разглашение (искажение, передача, утечка и т.д.) которой может нанести ущерб интересам Организации. К сведениям, составляющим конфиденциальную информацию, относятся сведения, предусмотренные \"Перечнем сведений, составляющих конфиденциальную информацию\", утвержденным и введенным в действие приказом руководителя Организации № ________ от ______________ .

1.3. Разглашением конфиденциальной информации следует считать следующие действия сотрудника:

- доведение до сведения неуполномоченных лиц в устной, письменной, электронной или иной форме конфиденциальную информацию. Указанный факт может наступить в результате умысла сотрудника или по неосторожности, включая халатное отношение к своим обязанностям;

- использование конфиденциальной информации в процессе выполнения работы для другого предприятия, учреждения и организации или по заданию физического лица, иного субъекта предпринимательской деятельности без образования юридического лица;

- использование конфиденциальной информации в научной и педагогической деятельности;

- использование конфиденциальной информации в личных целях, не связанных с выполнением должностных обязанностей в Организации;

- использование конфиденциальной информации в ходе публичных выступлений, интервью и т.п.;

- иные действия сотрудника, в результате которых конфиденциальная информация, стала известна неуполномоченным лицам.

1.4. Не считаются разглашением конфиденциальной информации действия сотрудника, указанные в п.1.3. настоящей Инструкции, совершенные им в порядке и в случаях, предусмотренных законодательством Российской Федерации, во исполнение нормативных актов Организации или договоров (соглашений) Организации с иными организациями или физическими лицами. Не считаются разглашением конфиденциальной информации действия сотрудника, совершенные им при наличии письменного разрешения или иного указания руководства Организации.

1.5. Меры по ограничению открытых публикаций конфиденциальной информации не могут быть использованы для сокрытия информации, связанной с:

- учредительными документами организации;

- документами, дающими право заниматься предпринимательской деятельностью (регистрационными удостоверениями, лицензиями, патентами и т.д.);

- сведениями о финансово-хозяйственной деятельности и иными сведениями, необходимыми для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему;

- документами о платежеспособности;

- сведениями о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

- документами об уплате налогов и обязательных платежей;

- сведениями о загрязнении окружающей среды;

- сведениями о нарушении антимонопольного законодательства;

- сведениями о несоблюдении безопасных условий труда;

- сведениями о реализации продукции, причиняющей вред здоровью населения;

- другими сведениями, которые не могут составлять коммерческую тайну предприятия.

Данные ограничения связаны с Законом РФ «О коммерческой тайне», определяющим сведения, которые не могут составлять коммерческую тайну организации. В соответствии с Указом Президента Российской Федерации от 6 марта 1997 года № 188 “Об утверждении перечня сведений конфиденциального характера” коммерческая тайна организации является частным случаем конфиденциальной информации.

1.6. Предоставление конфиденциальной информации представителям контрольных, ревизионных, фискальных и следственных органов, народным депутатам, органам печати, радио, телевидения и т.п. допускается только с разрешения руководителя Организации.

1.7. Защита конфиденциальной информации предусматривает:

- определение конфиденциальной информации, и сроков ее защиты;

- систему допуска сотрудников Организации, частных и командированных лиц к конфиденциальной информации;

- обязанности лиц, допущенных к конфиденциальной информации;

- порядок работы с бумажными документами, содержащими конфиденциальную информацию;

- порядок работы с электронными документами, содержащими конфиденциальную информацию;

- обеспечение сохранности документов и дел (архивов) содержащих конфиденциальную информацию;

- принципы организации и проведения контроля за обеспечением установленного порядка при работе с конфиденциальной информацией;

- ответственность за разглашение конфиденциальной информации и утрату документов, содержащих конфиденциальную информацию.

1.8. Обязанности по конфиденциальному делопроизводству возлагаются на секретаря руководителя Организации (в части делопроизводства руководителя Организации), секретарей руководителей структурных подразделений Организации (в части делопроизводства структурных подразделений) и системного администратора корпоративной компьютерной сети (в части обеспечения работоспособности электронной системы делопроизводства).

1.9. Конфиденциальная информация должны находиться преимущественно в электронном виде и быть защищена электронными средствами защиты.

1.10. Входящие конфиденциальные бумажные документы секретарями переводятся в электронный вид, дальнейшая работа с данными документами происходит сотрудниками в электронном виде.

1.11. Работа сотрудников с конфиденциальными бумажными документами допускается в виде исключения с разрешения руководства Организации или руководства структурных подразделений в случае невозможности или нецелесообразности перевода документа в электронный вид.

1.12. После перевода конфиденциального входящего бумажного документа в электронный вид, данный документ, по решению руководства Организации или руководства структурного подразделения, уничтожается или, после отработки, определяется в соответствующее дело (архив).

1.13. Обмен конфиденциальными документами внутри организации, осуществляется, преимущественно, в электронном виде с использованием средств электронной защиты.

1.14. Порядок работы с электронными конфиденциальными документами определен в части 2 данной Инструкции.

1.15. Определение вида исходящего конфиденциального документа (электронного или бумажного) возлагается на исполнителя по согласованию с руководством Организации или руководством структурного подразделения.

1.16. Ответственность за организацию работы с конфиденциальной информацией, разработку и осуществление необходимых мер по сохранности конфиденциальной информации руководитель Организации возлагает на руководителей структурных подразделений, соответствующих должностных лиц Службы безопасности, секретарей и системного администратора закрытой корпоративной компьютерной сети.

2. Порядок работы с конфиденциальной информацией, представленной в электронном виде

2.1. Хранение, работа и архивирование любых электронных конфиденциальных документов (файлов) должно осуществляться с учётом требования ограничения несанкционированного доступа к ним третьих лиц способами, оговоренными настоящим разделом данной Инструкции.

2.2. Все персональные компьютеры, установленные на рабочих местах сотрудников, подключены к защищенной корпоративной компьютерной сети Организации (далее – сеть).

2.3. Каждый персональный компьютер оснащён стандартным набором программных средств, принятых для эксплуатации в Организации. Любые изменения в оснащении персонального компьютера, подключённых к сети, должны быть санкционированы руководством структурного подразделения, согласованы с администратором сети и осуществлены уполномоченными специалистами Организации.

2.4. Вся конфиденциальная информация, имеющаяся в распоряжении сотрудника, должна храниться и обрабатываться на корпоративном файл-сервере Организации.

2.5. Первичный допуск сотрудника к работе на персональном компьютере, включенного в сеть осуществляется системным администратором сети по указанию руководства соответствующего структурного подразделения и включает в себя:

- ознакомление сотрудника с настоящей Инструкцией под роспись;

- инструктаж по порядку работы с программными средствами, принятыми для эксплуатации в Организации;

- получение сотрудником персонального ключа для шифрования данных;

- получение сотрудником персонального пароля для доступа к ресурсам корпоративного сервера и локальной вычислительной сети;

- получение адреса персонального почтового ящика корпоративной почты;

- получение внутреннего персонального ICQ номера.

2.6. Сотрудник, допущенный к работе с персональным компьютером, получает доступ:

- к персональному разделу на корпоративном файл-сервере («Личная» папка) для хранения и обработки электронных конфиденциальных документов (файлов) с предоставленной в его распоряжение для выполнения поставленных перед ним задач;

- к разделу с открытыми ключами сотрудников Организации;

- к персональному почтовому ящику корпоративной почты.

2.7. Все электронные конфиденциальные документы (файлы), должны храниться на корпоративном сервере одним из возможных способов:

- в личной папке сотрудника в защищённом на личном ключе виде;

- в личной папке сотрудника в защищённом на личном плюс один или несколько открытых ключей уполномоченных руководства сотрудников виде – в случае необходимости и по указанию руководства.

2.8. Все новые электронные конфиденциальные документы (файлы) должны создаваться только на файл-сервере в личной папке сотрудника.

2.9. Работа с электронными конфиденциальными документами (файлами), допускается только при условии расположения этих документов (файлов) на сервере способами оговоренными п.2.7.

2.10. В каждый конкретный момент времени в течение рабочего дня загруженными в персональный компьютер сотрудника должны быть только те электронные конфиденциальные документы (файлы), которые имеют непосредственное отношение к тому делу, которым занимается сотрудник в данный момент времени. При этом все другие конфиденциальные документы (файлы), должны находиться на сервере в виде согласно п.2.7.

2.11. Загрузка (открытие), сверх действительно необходимого количества, электронных конфиденциальных документов (файлов) на персональных компьютерах сотрудников запрещается.

2.12. В течение рабочего дня ставшие ненужными в текущей работе (отработанные) электронные конфиденциальные документы (файлы) подлежат незамедлительному закрытию (сохранению на файл-сервер).

2.13. С целью недопущения переполнения сетевых дисков, выявленные в течение дня ненужные файлы (старые версии файлов и т.д.) подлежат безусловному незамедлительному уничтожению.

2.14. Уничтожение электронных конфиденциальных документов (файлов) с сетевых дисков корпоративного файл-сервера осуществляется стандартными средствами операционной системы – команда «Удалить» контекстного меню. Уничтожение электронных конфиденциальных документов (файлов) с любых иных носителей должно осуществляться только с помощью утилиты Wipe специально предназначенной для уничтожения файлов без возможности их последующего восстановления.

2.15. Обмен электронными конфиденциальными документами (файлами) между сотрудниками находящимися в офисе осуществляется в зашифрованном виде одним из способов:

- используя сервис программы ICQ;

- используя сервис корпоративной почты.

2.16. Обмен электронными конфиденциальными документами (файлами) между сотрудниками, находящимися вне офиса Организации (командировки) осуществляется путем обмена зашифрованной почтой через корпоративные почтовые ящики сотрудников.

2.17. Порядок обращения с конфиденциальным бумажным документом полученным в результате распечатки электронного конфиденциального документа регламентируется соответствующими разделами данной Инструкции.

2.18. В случае прихода (ожидания) посетителя к сотруднику, в персональный компьютер этого сотрудника могут быть загружены только те электронные конфиденциальные документы (файлы), относящиеся к делу этого посетителя. Загружать в персональный компьютер и/или работать с электронными конфиденциальными документами (файлами), не относящимися к делу присутствующего посетителя – запрещается.

2.19. Сотруднику, работающему с электронными конфиденциальными документами (файлами) категорически запрещается:

- оставлять персональный компьютер на время более 5 мин. с разрешённым доступом к личной папке;

- сообщать, кому бы то ни было, свой персональный пароль доступа в закрытую корпоративную компьютерную сеть Организации;

- сообщать, кому бы то ни было, пароль доступа к своему персональному ключу PGP;

- оставлять посетителя в кабинете одного при включенном в защищенную корпоративную сеть компьютере;

- осуществлять хранение/обработку личных файлов (данных, не имеющих отношения к выполнению функциональных обязанностей, а именно: файлы мр3, игры, картинки, личные фотографии и т.д.) на сетевых дисках корпоративного сервера;

- использовать съёмные носители – дискеты, ZIP диски, магнитооптика и т.д. – для обмена между сотрудниками и хранения электронных конфиденциальных документов (файлов);

- самовольно, без согласования с администратором сети, изменять аппаратную конфигурацию и настройки программного обеспечения персональных компьютеров, подключенных к сети.

2.20. Сотрудник, работающий с электронными конфиденциальными документами (файлами) обязан:

- выполнять требования администратора сети в рамках установленного регламента эксплуатации сети и требований настоящей Инструкции (технический перерыв, устранение выявленных нарушений хранения/обработки данных, профилактические работы на оборудовании сети). Несоблюдение требований настоящего пункта может привести к необратимой потере данных, ответственность за которую возлагается на самих сотрудников.

- при убытии в отпуск/командировку предоставить имеющиеся у него конфиденциальные электронные документы (файлы), которые могут понадобиться в его отсутствие (определяется руководителем), в распоряжение уполномоченного руководителем сотрудника в зашифрованном на открытом ключе этого сотрудника виде;

- ежедневно в конце рабочего дня производить «зачистку» локального диска своего персонального компьютера путём запуска соответствующей процедуры (ярлык «До свидания!» на рабочем столе Windows);

- еженедельно производить ревизию своей личной папки, размещённой на корпоративном файл-сервере, с целью выявления и уничтожения конфиденциальных электронных документов (файлов) ставших ненужными.

3. Определение конфиденциальной информации и обозначение бумажных документов, содержащих конфиденциальную информацию, и сроков ее защиты

3.1. На документах и делах (архивах), содержащих конфиденциальную информацию, проставляется гриф \"Конфиденциально\", а также номера экземпляров. Гриф и номера экземпляров, проставляются в правом верхнем углу каждой страницы документа.

3.2. Необходимость проставления грифа \"Конфиденциально\" определяется исполнителем документа и утверждается руководством структурного подразделения, в соответствии с Перечнем, указанным в п. 1.2. настоящей Инструкции.

3.3. На наиболее важных конфиденциальных документах, с содержанием которых необходимо ознакомить строго ограниченный круг лиц, и документах, подлежащих направлению (передаче) лично адресатам, проставляется ограничительная пометка «Лично». При необходимости в документе указывается, кто из должностных лиц должен (может) быть ознакомлен с ним.

3.4. На обратной стороне последнего листа каждого экземпляра печатается разметка, в которой указывается: количество отпечатанных экземпляров, регистрационный номер, фамилия исполнителя и его телефон, дата, и срок защиты (регистрационный номер проставляется на каждом листе документа).

3.5. Срок защиты конфиденциальной информации, содержащейся в документе, определяется в каждом конкретном случае исполнителем и утверждается руководством структурного подразделения, в виде конкретной даты или в виде пометок: \"до заключения контракта\", \"бессрочно\" и т.п. и своей подписи.

3.6. Основанием для снятия грифа \"Конфиденциально\" является решение руководства структурного подразделения, оформляемое актом, утвержденным руководителем организации. Один экземпляр акта вместе с делами передается в архив организации.

3.7. Гриф \"Конфиденциально\" после оформления его снятия (п. 2.4) погашается штампом или записью от руки с указанием даты и номера акта, послужившего основанием для его снятия. Аналогичные отметки вносятся в описи дел (архивов).

4. Организация работы с бумажными документами, имеющих гриф «Конфиденциально»

4.1. Все входящие, исходящие и внутренние бумажные документы, имеющие гриф \"Конфиденциально\", подлежат обязательной регистрации у соответствующих секретарей в специальных регистрационных журналах и учитываются по количеству листов, а издания – поэкземплярно.

4.2. Права на информацию, порядок пользования ею, сроки ограничения на публикацию могут оговариваться дополнительно в тексте документа, его реквизитах или резолюциях.

4.3. Отсутствие грифа \"Конфиденциально\" и предупредительных оговорок в тексте и реквизитах означает свободную рассылку и предполагает, что автор информации и лицо, подписавшее или утвердившее документ, предусмотрели возможные последствия от свободной рассылки и несут за это ответственность.

4.4. Вся входящая корреспонденция, имеющая гриф \"Конфиденциально\" (или другие соответствующие этому понятию грифы, например, \"секрет предприятия, \"тайна предприятия\" и др.) вскрывается сотрудниками организации, имеющими соответствующий допуск и которым поручена работа с этими материалами. При этом проверяется количество листов и экземпляров, а также наличие указанных в сопроводительном письме приложений. При обнаружении отсутствия в конвертах (пакетах) указанных документов составляется акт в двух экземплярах: один экземпляр акта направляется отправителю.

4.5. На рассмотрение руководства Организации передаются все конфиденциальные бумажные документы, адресованные руководству Организации, документы, по которым только руководство Организации может назначить исполнителя, а также в случае, если документ адресован конкретному сотруднику, а последний не имеет права доступа к данной категории документов.

4.6. Учет бумажных документов с грифом \"Конфиденциально\" ведется в регистрационных журналах отдельно от учета другой служебной документации не имеющей ограничения по доступу. Листы регистрационных журналов нумеруются, прошиваются и опечатываются.

4.7. Проекты (черновики) конфиденциальных бумажных документов исполнителями составляются только в электронном виде с использованием электронных средств защиты или в специальных персональных тетрадях, указанных в пункте данной Инструкции.

4.8. Конфиденциальные бумажные документы составляются в строго ограниченном количестве экземпляров. Исходящие документы составляются, как правило, в двух экземплярах, а внутреннего обращения – в одном.

4.9. Движение бумажных документов с грифом \"Конфиденциально\" осуществляется через соответствующих секретарей и только с помощью персонального реестра (с обязательной подписью исполнителя, получившего документ) и своевременно отражается в регистрационных журналах.

4.10. На зарегистрированном входящем документе с грифом, ограничивающим доступ к информации, должен быть проставлен штамп с указанием наименования организации, регистрационный номер документа и дата его поступления.

4.11. Отпечатанные и подписанные исходящие документы с грифом «Конфиденциально» передаются для регистрации секретарю руководителя организации (в случае, если исходящий документ подписан руководством организации) или секретарю руководителя структурного подразделения (в случае если исходящий документ подписан руководством структурного подразделения).

4.12. В случае, если исходящий бумажный конфиденциальный документ рассылается в несколько адресов, рассылка производиться на основании подписанных руководством Организации или руководством структурных подразделений разнарядок с указанием учетных номеров отправляемых экземпляров. Отправка по Москве и в ближайшие регионы осуществляется только с помощью курьеров организации. В отдаленные регионы отправка данных документов осуществляется с помощью органов спецсвязи или фельдсвязи.

4.13. Размножение бумажных документов с грифом \"Конфиденциально\" на копировально-множительной технике производится только у соответствующих секретарей на основании вышеуказанных разнарядок или иных разрешений руководства Организации или руководителей структурных подразделений.

Размноженные документы с грифом \"Конфиденциально\" (копии, тираж) должны быть полистно подобраны, пронумерованы поэкземплярно и, при необходимости, сброшюрованы (сшиты). Нумерация дополнительно размноженных экземпляров, производится от последнего номера, ранее учтенных экземпляров этого документа.

После размножения на последнем листе оригинала (подлинника) проставляется запись: Регистрационный номер ________. Дополнительно размножено _____ экз., на _____ листах текста. Должность, Ф.И.О. лица, разрешившего размножение. Дата. Подпись.

Одновременно делается отметка об этом в соответствующих регистрационных журналах.

4.14. Бумажные документы с грифом \"Конфиденциально\" после исполнения группируются в отдельные дела в хронологическом порядке.

4.15. Снятия рукописных, машинописных, микро-, ксеро- и фотокопий, электрографических и др. копий, а также производство выписок из документов с грифом «Конфиденциально» сотрудниками Организации производится по разрешению руководства Организации или руководства структурных подразделений. Данные выписки должны делаться в специальные персональные тетради, имеющие гриф «Конфиденциально», регистрационные номера, пронумерованные страницы, которые прошиты и скреплены печатью организации.

4.16. Печатание документов, содержащих конфиденциальную информацию на бумажные носители разрешается у секретарей или непосредственно на рабочем месте исполнителя.

4.17. Уничтожение бумажных документов с грифом \"Конфиденциально\" производится комиссией в составе не менее трех человек с составлением соответствующего акта, при этом один человек должен быть сотрудником Службы безопасности.

5. Порядок обеспечения сохранности документов и дел (архивов), содержащих конфиденциальную информацию

5.1. Все документы, и дела (архивы) с документами имеющими гриф \"Конфиденциально\" должны храниться в офисных помещениях в надежно запираемых и опечатываемых сейфах (металлических шкафах). Помещения должны отвечать требованиям внутри объектного режима, обеспечивающего физическую сохранность находящейся в них документации.

5.2. Дела (архивы) с документами, имеющими гриф \"Конфиденциально\", выдаются секретарями под роспись в регистрационном журнале и подлежат возврату сотрудниками в тот же день. При необходимости, с разрешения руководства структурного подразделения, они могут находиться у сотрудника в течение срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.

5.3. С документами (электронными и бумажными) с грифом \"Конфиденциально\" разрешается работать только в офисных помещениях Организации. Для работы вне офисных помещений необходимо разрешение руководства Организации или руководства структурного подразделения.

5.4. Во время перерывов в работе, связанных с выходом из своего офисного помещения, запрещается оставлять конфиденциальные документы на столах, в незапертых ящиках столов. В случае нахождения в офисном помещении посетителей или иных лиц, не имеющих допуск к конфиденциальным бумажным документам, все конфиденциальные документы должны быть убраны в сейфы (металлические шкафы).

5.5. Изъятия из дел (архивов) или перемещение бумажных документов с грифом \"Конфиденциально\" из одного дела (архива) в другое без санкции руководства Организации или руководства структурных подразделений запрещается.

5.6. Смена секретарей, ответственных за учет и хранение документов, дел (архивов) с грифом \"Конфиденциально\", оформляется распоряжением руководства Организации или руководства структурных подразделений. При этом составляется акт приема-передачи этих материалов, утверждаемый соответствующим руководством.

6. Порядок допуска к конфиденциальным сведениям

6.1. Допуск сотрудников к конфиденциальным сведениям осуществляется руководством Организации и оформляется соответствующим решением в письменной форме.

6.2. Руководители структурных подразделений обязаны обеспечить систематический контроль за допуском к конфиденциальным сведениям только тех лиц, которым они необходимы для выполнения функциональных обязанностей.

6.3. К конфиденциальным сведениям допускаются лица, личные и деловые качества которых обеспечивают их способность хранить конфиденциальную информацию, и только после оформления письменного обязательства по сохранению конфиденциальной информации.

6.4. Допуск сотрудников к работе с делами (архивами), в которых хранятся конфиденциальные документы, осуществляется согласно оформленному на внутренней стороне обложки дела (архива) или на отдельном листе списку допущенных сотрудников за подписью руководства Организации, а к документам – в соответствии с указаниями, содержащимися в резолюциях руководства Организации или руководства структурных подразделений.

6.5. Представители сторонних организаций и частные лица могут быть допущены к ознакомлению и работе с документами и делами (архивами) с грифом \"Конфиденциально\" только с разрешения руководства Организации.

6.6. Выписки из документов, содержащих сведения с грифом \"Конфиденциально\", производятся в специальных тетрадях, определенных в пункте настоящей Инструкции. После окончания работы они высылаются в адрес той организации, которая будет указана данным представителем.

7. Контроль за выполнением требований внутри объектового режима при работе с конфиденциальными сведениями

7.1. Под внутри объектовым режимом при работе с конфиденциальными документами подразумевается соблюдение условий работы, исключающих возможность утечки информации о конфиденциальных сведениях.

7.2. Контроль за соблюдением указанного режима осуществляется в целях изучения и оценки состояния сохранности конфиденциальной информации, выявления и установления причин недостатков, и выработки предложений по их устранению.

7.3. Контроль за обеспечением режима при работе с конфиденциальными сведениями осуществляют соответствующие сотрудники Службы безопасности и руководители структурных подразделений путем текущих и внеплановых проверок.

7.4. При проведении проверок создается комиссия, которая комплектуется из сотрудников Службы безопасности и сотрудников организации в составе не менее двух человек, допущенных к работе с материалами, имеющими гриф «Конфиденциально».

7.5. Участие в проверке не должно приводить к необоснованному увеличению осведомленности в этих сведениях, а также затруднять работу сотрудников Организации.

7.6. Плановые проверки проводятся не реже одного раза в год на основании распоряжения руководства Организации.

7.7. Внеплановые проверки проводятся при наличии признаков утечки конфиденциальной информации или по иной необходимости на основании распоряжения руководителя Организации по согласованию со Службой безопасности.

7.8. Проверяющие имеют право знакомиться со всеми документами и иными материалами, имеющими отношение к проверяемым вопросам, а также проводить беседы, консультироваться со специалистами и исполнителями, требовать представления письменных объяснений, справок и отчетов по всем вопросам, входящим в компетенцию комиссии.

7.9. При проверках может присутствовать руководство структурного подразделения.

7.10. По результатам проверок составляется акт или справка с отражением в нем наличия документов, состояния работы с материалами, имеющими гриф \"Конфиденциально\", выявленных недостатков и предложений по их устранению. Акт подписывается начальником Службы безопасности и утверждается руководством Организации.

7.11. При выявлении случаев утраты документов или разглашения конфиденциальных сведений ставятся в известность руководитель организации и начальник Службы безопасности. Для расследования указанных случаев распоряжением руководителя Организации создается комиссия, которая определяет соответствие содержания утраченного документа проставленному грифу \"Конфиденциально\" и выявляет обстоятельства утраты (разглашения), а также предложения по минимизации потерь, связанных утратой документа или разглашением конфиденциальной информации. По результатам работы комиссии составляется акт.

8. Обязанности сотрудников Организации, работающих с конфиденциальными сведениями и их ответственность за ее разглашение

8.1. Сотрудники организации, допущенные к конфиденциальными сведениям, несут ответственность за точное выполнение требований, предъявляемых к ним в целях обеспечения сохранности указанных сведений.

8.2. До получения доступа к работе, связанной с конфиденциальной информацией, им необходимо изучить настоящую Инструкцию под роспись и заключить письменное обязательство о сохранении конфиденциальной информации, оформленное в виде договора.

8.3. Сотрудники организации, допущенные к конфиденциальной информации должны:

- знать и соблюдать требования настоящей Инструкции;

- хранить конфиденциальную информацию, в том числе не сообщать конфиденциальные сведения друзьям и членам своей семьи. О ставших им известной утечке сведений, составляющих конфиденциальную информацию, а также об утрате документов с грифом «Конфиденциально», немедленно сообщать своему руководителю структурного подразделения и в Службу безопасности;

- предъявлять для проверки по требованию комиссии по проверке конфиденциального делопроизводства и представителей Службы безопасности все числящиеся за ним материалы, содержащие конфиденциальную информацию, а в случае нарушения установленных правил работы с ними представлять соответствующие объяснения в устном и письменном виде;

- знакомиться только с теми документами и выполнять только те работы, к которым они допущены в соответствии с функциональными обязанностями и в соответствии с дополнительными задачами, возложенными на них руководством;

- строго соблюдать правила пользования и сохранности документов, имеющих гриф «Конфиденциально». Не допускать их необоснованной рассылки;

- выполнять требования внутри объектного режима, определяемые Службой безопасности, исключающие возможность ознакомления с материалами, содержащими конфиденциальную информацию, посторонних лиц, включая и сотрудников организации, не имеющих к указанным материалам прямого отношения.

- при ведении деловых переговоров с представителями сторонних организаций или частными лицами ограничиваться выдачей минимальной информации, действительно необходимой для их успешного завершения;

- при временном убытии (в отпуск, командировку, на учебу, лечение и т.д.) проверять наличие числящихся за ним конфиденциальных документов. Документы, которые подлежат исполнению или могут потребоваться в работе, передавать другому сотруднику по указанию руководства организации или руководства структурного подразделения. При прекращении трудовых или иных договорных отношений с Организацией, сотрудник обязан сдать все числящиеся за ним конфиденциальные документы;

- исключить использование конфиденциальных сведений в свою личную пользу, а также исключить деятельность, которая может быть использована конкурентами в ущерб организации.

8.4. Ответственность за разглашение конфиденциальных сведений, и утрату документов, содержащих такие сведения устанавливается в соответствии с Уголовным кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Кодексом законов о труде Российской Федерации и иным действующим законодательством.

Начать дискуссию