В ходе исполнения служебных обязанностей сотрудники предприятия обмениваются значительными объемами данных и зачастую получают возможность оперировать конфиденциальной информацией (КИ). Ответственные руководители устанавливают определенные правила доступа к такой информации, чем обеспечивают безопасность работы своей организации.

Зачем нужно устанавливать правила

Конфиденциальность информации и степень защищенности данных всегда должны соответствовать их ценности и критичности. Комплексные меры и правильно поставленные задачи в правовом, техническом и организационном направлении препятствуют нежелательной утечке данных, которые составляют коммерческую тайну.

Общие цели

Определяя порядок работы с КИ, руководитель заранее предотвращает нежелательное разглашение таких данных сотрудниками. Наличие правил способствует администрированию и использованию защищаемой информации даже в условиях повышенных рисков. Снижается опасность доступа сторонних лиц к защищаемой информации, составляющей коммерческую тайну, с целью ее уничтожения, подлога или копирования.

Технические задачи

С технической точки зрения защита информации ограниченного доступа предполагает:

• бесперебойный доступ к ней в системах обработки защищенных данных;
• предотвращение уничтожения носителей этой информации, вывода из строя коммуникационного оборудования;
• обеспечение достоверности и полноты защищаемой информации.

Порядок оборота документов, содержащих закрытую информацию

Документы конфиденциального делопроизводства на традиционных бумажных носителях подлежат строгому учету. Соответствующие журналы необходимо регулярно подвергать аудиту, а сами документы – инвентаризации.

Документы с ограниченным доступом

Документы, в которых содержится конфиденциальная информация, должны регистрироваться под соответствующим ограничительным грифом – «Конфиденциально» или «Для служебного пользования». Перечень грифов может быть расширен по необходимости, если сведения составляют коммерческую тайну, относятся к интеллектуальной собственности или содержат персональные данные. 

Руководству следует утвердить список лиц, допущенных к работе с конфиденциальной информацией. Необходимо учитывать, что ответственность за присвоение грифа несет владелец информации. Если на документе отсутствует маркировка, указывающая на секретность данных, то сотрудники вправе обращаться с ним, как с общедоступным в порядке корпоративного документооборота.

Обработка документов с ограничительным грифом

Данные о закрытом характере документа должны быть указаны как на нем самом, так и на пакете, в котором он был получен. Такие пакеты имеет право вскрывать только ответственный сотрудник, назначенный приказом.

При получении пакета сотрудник обязан проверить соответствие содержимого и информации в сопроводительном письме. В случае обнаружения несоответствий он составляет акты, которые направляет руководителю.

Учтенные документы формируются в дела. В целях обеспечения учета на последней странице дела составляют опись, где указывают количество листов, виды и номера документов, содержащих КИ. Зарегистрированные дела помещаются в сейф, ключ от которого хранится у ответственного сотрудника.

Использование документов, содержащих закрытую информацию

Для получения дел, содержащих конфиденциальную информацию, необходимо направить служебную записку ответственному работнику. Последний обязан проверить, входит ли запрашивающий в список допущенных лиц.

Копирование конфиденциальных документов производят в специально отведенном помещении. Все копии перед выдачей регистрируются в журнале. Лишние копии, в том числе дефектные, уничтожаются. 

Выдачу оригинала дела осуществляет ответственный работник лично запрашивающему, о чем делается запись. При возврате дела он проверяет все документы в соответствии с описью. В случае их недостачи или повреждения составляется акт, а информация о происшествии доводится до руководства и службы безопасности.

Утилизация документов

Утратившие актуальность документы архивируют либо уничтожают. Архивированию подлежат документы, которые, согласно законодательству Российской Федерации, должны храниться определенное время перед уничтожением.

Перед утилизацией документов выделенного хранения проводят их полную инвентаризацию. Уничтожение производит ответственный сотрудник в присутствии специальной комиссии, являющейся исполнительным органом согласно приказу.

Меры по предотвращению несанкционированного использования закрытой информации

К определенной информации доступ ограничивают именно потому, что ее неконтролируемое распространение может причинить вред отдельным людям и интересам организаций. К такой информации проявляют интерес конкуренты и злоумышленники, поэтому для ее защиты необходимо принять ряд мер.

Ограничение доступа в помещение

Для того чтобы в помещение не проникали посторонние лица, следует использовать такие технические и организационные средства:

• персонализированная пропускная система, которая собирает информацию о передвижениях работников;
• электронные замки для ограничения доступа в особые помещения;
• функциональная разделенность работников, которая сводит их контакты сотрудников по нерабочим вопросам к минимуму;
• система переговорных комнат – запрет на переговоры в незащищенных офисах, если стороны планируют озвучивать конфиденциальные данные.

Защита цифровых данных

Для защиты оцифрованной информации нужно использовать программные средства разграничения доступа. Системные администраторы должны быть уведомлены об уровне доступа каждого сотрудника, чтобы каждый получал только ту информацию, которая необходима для его деятельности в рамках служебных обязанностей. Крайне нежелательно давать третьим лицам удаленный доступ к данным.

Все действия лиц под учетными записями, получающими доступ к КИ, должны быть зафиксированы. Пользователям запрещено входить в систему с чужого рабочего места, раскрывать свою учетную информацию. Пароли необходимо регулярно менять.

Организационные меры

Утечка закрытой информации возможна и по причине неправильной организации рабочего процесса. Например, если рабочие места расположены одно за другим без перегородок, то возможен несанкционированный просмотр сведений и документов на мониторах.

Другой путь организационной утечки данных – система доставки документов. Необходимо включать в договоры с клиентами четкие условия по ограничению доступа и подтверждению получения документов, которые содержат закрытую информацию. 

Следует доводить до службы безопасности тот уровень информации, к которому может иметь доступ каждый конкретный работник. А в трудовом договоре должны присутствовать пункты об ответственности за разглашение закрытых сведений и утрату документов с ограниченным доступом. Ссылки на соответствующие федеральные законы нужно предоставить сотруднику для ознакомления.

Обработка закрытой информации часто сопряжена с высоким уровнем риска, поэтому руководителям следует продумать правила, систему контроля и учета еще до того, как такие данные начнут поступать. В вопросах защиты конфиденциальной информации повышенная бдительность никогда не бывает излишней. Тщательно прописанные должностные инструкции, режим коммерческой тайны, адекватные системы организации рабочего пространства и доступа к документам станут залогом сохранности данных и доверия контрагентов.

18.03.2020