В работе компании возникают ситуации, когда конфиденциальная информация в бумажном и электронном виде используется в стандартных бизнес-процессах. Необходима регламентация работы с такими данными, позволяющая избежать утечек. Эта задача решается выстраиванием системы бумажного и электронного документооборота на основе внутренних положений фирмы.

Порядок признания информации конфиденциальной

Для того чтобы информация могла быть признана конфиденциальной и получила в связи с этим охранный статус, должны существовать определенные условия:

• отнесение ее к категории защищаемой на основании закона (государственная тайна, персональные данные);
• признание конфиденциальной информации коммерческой тайной в рамках внутренних документов компании.

Для первой категории конфиденциальной информации порядок работы с данными в существенной части определяется требованиями регуляторов (ФСБ, ФСТЭК). Для второй группы конфиденциальных данных – фирмы вправе сами выстраивать систему защиты, часто исходя из уже отработанных процедур. Какого-либо утвержденного порядка обработки документов, содержащих коммерческую информацию, не существует. Чаще всего применяется ГОСТ, основанный на методиках еще Советского Союза и рекомендующий, как именно настраивать процессы по работе с бумажными носителями коммерческой тайны и иных категорий конфиденциальной информации. В системах электронного документооборота (ЭДО) решение вопросов обеспечения безопасности при работе с конфиденциальной информацией определяется набором функций, заложенных в программные продукты.

Основа регламентации работы – набор процедур, обеспечивающих введение режима коммерческой тайны относительно конфиденциальной информации:

• составление перечня информации, которая в компании считается конфиденциальной. Необходимо разграничение ее статуса исходя из разных степеней допуска сотрудников. Для этого обычно используют различные грифы секретности – «Секретно». «Совершенно секретно», «Особой важности». В ЭДО грифы конфиденциальности заменяют метками, присваиваемыми файлам и каталогам, содержащим информацию ограниченного доступа;
• принятие положения, регламентирующего правила работы с коммерческой тайной, порядок доступа к ней, ответственность за ее разглашение;
• внесение в трудовые договоры положения, обязывающего сотрудника обеспечивать безопасность коммерческой тайны.

После реализации этих опций информация получает статус охраняемой, и в случае ее утечки компания не только может привлечь сотрудника к дисциплинарной ответственности, но и обязать его возместить в связи с разглашением информации причиненный ущерб в гражданско-правовом порядке.

Регламентация работы с бумажными носителями информации

Стандарты документооборота, принятые в большинстве компаний, не относящихся к малому бизнесу, основываются на понятии исполнения конфиденциального документа. Под этим термином понимается последовательность действий:

• создание или получение конфиденциального документа;
• его регистрация в базе документооборота компании с присвоением идентифицирующих признаков и грифа конфиденциальности;
• выработка руководителем организации поручения, вытекающего из сути документа, с учетом степени конфиденциальности информации;
• назначение ответственного исполнителя или исполнителей;
• выполнение поручения;
• контроль выполнения и качества соблюдения конфиденциальности информации.

Исполнение конфиденциальных документов и их обработка отличаются от работы с документами, не имеющих грифа конфиденциальности. При работе с бумажным или электронным носителем, обработке файлов, содержащих конфиденциальную информацию, в базах выявляются следующие угрозы, связанные с неверными действиями исполнителей, организаторов процесса исполнения или служб безопасности:

• утрата конфиденциальной информации, если ее документировали на бумажном или электронном носителе, не входящем в периметр контроля службы безопасности организации;
• создание внутри компании документа (приказа, положения, инструкции), носящего общедоступный для всех сотрудников характер, но содержащего информацию ограниченного доступа;
• включение в документ, предназначенный для внешнего распространения (деловое предложение, пресс-релиз, протокол договоренностей), избыточной информации конфиденциального характера. Исходя из норм закона, это эквивалентно разглашению коммерческой тайны;
• случайное или осознанное присвоение документу более низкого грифа конфиденциальности информации, чем предусмотрено регламентами;
• подготовка документа, содержащего конфиденциальную информацию, в ситуации, в которой обеспечить режим безопасности невозможно (в облачном сервисе, на мобильном устройстве, в домашних условиях, при совместной работе с использованием общедоступных Wi-Fi-сетей);
• случайная утрата оригинала, копии или черновика документа, электронного носителя информации с сокрытием сотрудником этого факта и попыткой исправить ситуацию путем изготовления подмены;
• утечка конфиденциальной информации по каналам связи, как ненамеренная, так и в результате хакерских действий;
• ошибочные действия лица, отвечающего за сохранность конфиденциальной информации, связанные с неверной настройкой системы безопасности, технической и документарной.

Угрозы должны мониториться службой безопасности и ИТ-подразделением на всех этапах работы с конфиденциальной информацией.

Особенности создания и исполнения конфиденциальных документов

Исходя из перечисленных рисков, процесс исполнения конфиденциальных документов будет отличаться от исполнения обычных, в нем появятся дополнительные этапы и процедуры:

• установление уровня конфиденциальности для документа еще на момент генерации идеи о его создании. Это позволит точно определить уровень включаемой информации, список исполнителей и согласующих лиц, список ознакомления;
• описание всех категорий носителей информации, где будет размещаться создаваемый документ, правил их распространения, хранения и других особенностей порядка обработки конфиденциальной информации;
• подготовка конфиденциального документа с учетом определения уровня допуска всех исполнителей, определение тонкостей совместной работы, организация защищенной зоны для работы как на территории организации, так и в виртуальном пространстве, особенно при работе в проектной группе на удаленном доступе, определение количества бумажных копий документа;
• утверждение конфиденциального документа с учетом уровня допуска лиц, которые принимают участие в этом процессе: директор, члены совета директоров, секретариат, отдел по документационному обеспечению.

Каждый этап должен быть жестко регламентирован внутренними инструкциями, и исполнители инструкций не должны совершать ошибок из-за их незнания. Человеческий фактор не должен стать причиной утраты данных ограниченного доступа. Знание порядка обработки конфиденциальной информации должно регулярно проверяться службой безопасности и подкрепляться на тренингах.

Порядок борьбы с угрозами конфиденциальности информации

Факт фиксации данных ограниченного доступа на материальном носителе является фактором, провоцирующим угрозу их утечки. Для обеспечения работы с документами в условиях защищенности информации уже на этапе его генерации требуется определить будущий гриф конфиденциальности. При создании перечня информации, составляющей коммерческую тайну, необходимо ориентироваться на три уровня секретности, каждый из них определяет уровень лиц, допущенных к работе с данными. 

Перечень сведений и уровень грифа определяются следующими факторами:

• перечнем информации компании, имеющей коммерческую ценность;
• требованиями партнеров по защите их коммерческой тайны, передаваемой в рамках деловых отношений;
• нормами законодательства.

Присвоение грифа секретности и определение его уровня производятся исходя из ценности информации и того, какой ущерб компании принесет ее утрата. В коммерческой организации обычно используется три уровня грифов, выражающихся в виде отметок на бумажных носителях или меток на электронных ресурсах:

• первый уровень, при котором к обработке конфиденциальной информации допускаются сотрудники любого уровня при условии наличии в их трудовых договорах положения о неразглашении, – грифы «Конфиденциальная информация»;
• второй уровень, на котором к данным получают доступ только сотрудники ограниченного списка. Гриф «Строго конфиденциально» присваивается руководителем компании, только он может изменить или отменить его. Процесс определения особенностей хранения данных этого уровня организовывается руководителем фирмы, иногда ради него создается отдельное подразделение обеспечения документооборота данных ограниченного доступа;
• документы, предназначенные для служебного пользования, маркируются грифом «ДСП».

Гриф конфиденциальности информации на бумажном носителе должен проставляться таким образом, чтобы исключить сомнения в его формулировке. Он проставляется на первом листе. Если в работе находится электронная копия документа, гриф проставляется на каждой странице, с тем чтобы избежать копирования. Копия, выдаваемая каждому сотруднику, может содержать дополнительные метки, невидимые глазу, которые позволят определить, откуда произошла утечка.

Особенности обработки конфиденциальной информации в системах ЭДО

В большинстве компаний существуют системы электронного документооборота, существенно облегчающие делопроизводство. Документы в них находятся в виде электронных копий. 

Существуют следующие типы систем ЭДО:

• программы, создаваемые программистами компании с учетом ее специфики;
• модули в стандартных бизнес-программах и CRM-системах;
• специализированные программы, предназначенные исключительно для документооборота;
• модули в глобальных информационных системах крупных корпораций, построенных на одной программной платформе.

Работа с документами, содержащими данные ограниченного доступа в системах ЭДО, требует выстраивания отдельных маршрутов движения таких документов при их визировании, исключающих доступ к ним неавторизованных лиц. Подобные меры безопасности должны реализовываться при выгрузке этих документов в программные и производственные модули. В большинстве присутствующих на рынке программных продуктов такое решение реализовать затруднительно. Особенно сложной становится задача, если хранение данных производятся на облачных серверах. При выборе программного продукта необходимо учитывать эти особенности и избегать рисков.

Обработка конфиденциальных данных требует повышенного внимания всех причастных лиц и подразделений. Особенное внимание необходимо проявлять службам документооборота, безопасности и ИТ-подразделений, но в конечном счете ответственность за сохранность коммерческой тайны лежит на руководителе организации.

01.04.2020