Подразделение, отвечающее в компании за работу с конфиденциальными документами, должно иметь понимание особенностей их создания, хранения, исполнения. Существуют стандартные правила, позволяющие оптимизировать процессы и избежать случайной или намеренной утечки информации.

Понятие конфиденциального документа

В России конфиденциальной считается информация, которая признается таковой на основании специальных законов, ограничивающих ее распространение и использование. К информации ограниченного пользования относятся: 

• государственная тайна;
• служебная тайна (для государственной службы);
• тайна следствия, суда;
• врачебная, адвокатская тайна;
• персональные данные;
• коммерческая тайна.

Подразделения, отвечающие за работу с конфиденциальными документами, наиболее часто имеют дело с коммерческой тайной или персональными данными, иные виды конфиденциальной информации обычно образуются в работе специальных субъектов рынка (банков, государственных корпораций). 

Чтобы коммерческая информация получила защиту закона, компании необходимо выполнить следующие условия:

• составить перечень сведений, относящихся к коммерческой тайне, при необходимости определить степень их защиты. Обычно такой перечень конфиденциальной информации составляет руководитель компании, но для более четкого определения и описания данных во избежание спорных ситуаций при рассмотрении дел в суде возможно привлечение консультантов-аналитиков;
• принять регламенты, определяющие режим работы с документами и иными носителями коммерческой тайны;
• нанести гриф секретности на все материальные носители, содержащие конфиденциальную информацию. Несоблюдение этого правила не позволит привлечь нарушителя режима, вольно или невольно распространившего конфиденциальную информацию, к ответственности; 
• составить список лиц, имеющих доступ к документам, содержащим коммерческую тайну, с учетом уровней допуска;
• включить в трудовые договоры положения, обязывающие не разглашать коммерческую тайну компании и ее контрагентов;
• создать подразделение, отвечающее за поддержание режима коммерческой тайны.

После выполнения этого комплекса задач каждый документ, содержащий элементы конфиденциальной информации, будет охраняться согласно принятым правилам. Под документом в целях соблюдения режима коммерческой тайны понимаются не только бумажный носитель, оригинал, копия, черновик, но и электронный документ в любом формате – текстовом, визуальном (чертеж, фотография), аудио, – обрабатываемый в базах данных.

Далеко не всегда принятые регламенты являются исчерпывающими, что привело к появлению особого рынка услуг по охране коммерческой тайны и иных видов конфиденциальной информации, но в большинстве случаев соблюдение минимальных правил безопасности позволяет избежать утечек. 

Защита конфиденциальных документов

Подразделение, отвечающее за работу с конфиденциальными документами, создается или внутри общей службы документооборота, или внутри службы безопасности. 

В его задачи входит:

• своевременная актуализация баз данных, содержащих перечень сведений, относящихся к коммерческой тайне, и мест их хранения на материальных носителях и в электронном виде. Режим безопасности конфиденциальной информации предполагает понимание, где, как и в каком виде существуют объекты защиты;
• необходимость отмечать время введения режима коммерческой тайны в отношении каждого документа и материального носителя в проставленном на нем грифе, срок действия режима, дату последнего обновления сведений;
• уведомление сотрудников под роспись об изменении или введении режима конфиденциальности в отношении доверенных им документов.

Проставление грифа секретности на документе, содержащем конфиденциальную информацию, является обязательным, его отсутствие не дает возможности подтвердить, что работник достоверно знал: доверенный ему документ относится к коммерческой тайне. На бумажных документах гриф ставится на первой странице, на электронных – на каждой странице.

В задачу подразделения в целях обеспечения режима безопасности при работе с конфиденциальными документами входит фиксация следующих фактов:

• доступ сотрудника к конфиденциальной информации: дата, время, место доступа, мобильное или стационарное устройство, документы или иные носители, к которым был получен доступ, данные работника, сведения о лице, которое предоставило доступ, и данные о журнале, в котором фиксируется факт доступа; 
• утечка информации и ее формы;
• причинение убытков, в том числе размер убытков, причинно-следственная связь с действиями сотрудника, наличие вины.

Часть фактов фиксируется на материальных носителях, часть – в электронных реестрах учета. Необходимо выбирать такие программные средства, в которых легко вести поиск доказательств и в которые системные администраторы не могут вносить произвольные правки или изменения.

Организация работы с документами, содержащими коммерческую тайну

Для контроля соблюдения режима конфиденциальности информации используются организационные, аппаратно-технические, программные средства, выбор которых определяется стратегией безопасности предприятия. Они должны быть достаточными для обеспечения защиты сведений при работе с конфиденциальными документами, но не избыточными. Часто система безопасности является самоцелью, затрудняя нормальное течение бизнес-процессов. При этом отказ от внедрения системы контроля доступа к документам и уклонение от обязательных мер безопасности приведут к отказу суда привлечь работника к ответственности за нарушение правил работы с конфиденциальными документами и разглашение коммерческой тайны. Так, в постановлении суда по интеллектуальным правам по делу № С001-922/17 истцу было отказано, так как распространенные путем публикации на сайте чертежи не содержали грифа «Коммерческая тайна».

Технические меры

Этот комплекс решений призван исключить физический доступ неавторизованных лиц к документам, содержащим конфиденциальную информацию, зафиксировать действия сотрудников на рабочих местах, затруднить или исключить несанкционированные манипуляции. Закон «О коммерческой тайне» прямо обязывает работодателя создать для работника режим, облегчающий ему задачу по неразглашению конфиденциальной информации случайным образом, что требует защиты помещений и носителей данных. 

К техническим мерам защиты конфиденциальной информации для большинства организаций относятся:

1. Средства физической защиты – помещения, сертифицированные по определенным классам безопасности, решетки на окнах, бронированные двери, электронные замки.
2. Система видеонаблюдения, позволяющая, в том числе, фиксировать происходящее на мониторах рабочих станций, на которых обрабатывается конфиденциальная информация.
3. Использование устройств контроля доступа к данным, блокировка возможности копирования документов.

Такие меры общеприняты и внедряются вне зависимости от режима коммерческой тайны.

Организационные меры и организация делопроизводства

В этом случае необходима разработка комплекса решений, которые при работе с конфиденциальными документами не только обеспечат защиту от утечек, но и позволят привлечь виновника к ответственности. Делопроизводство должно вестись способом, исключающим доступ к документам, содержащим конфиденциальную информацию, лиц, не уполномоченных на это, что требует создания отдельного подразделения с разработкой для него собственного положения и должностных инструкций сотрудников. Сотрудники и руководитель подразделения несут персональную ответственность за сохранность сведений, составляющих коммерческую тайну, эта обязанность возлагается на них приказом руководителя организации.

Основными правилами конфиденциального делопроизводства являются следующие:

• документы с грифами конфиденциальности формируются в отдельные дела, не пересекающиеся с номенклатурой дел обычных бизнес-процессов. Гриф секретности ставится на обложке дела, внутри размещается список сотрудников, допущенных к работе с ним, перечень своевременно актуализируется;
• листы дела нумеруются карандашом, в конце тома размещается перечень документов;
• все дела хранятся в сейфе, который опечатывается ответственным лицом. Никто, кроме этого сотрудника, доступа к сейфу не имеет;
• каждый документ учитывается в специальной карточке, его учетный номер указывается в грифе секретности;
• для работы документы высокой степени конфиденциальности передаются исполнителю или исполнителям под роспись, с указанием времени получения. По окончании рабочего дня документы также под роспись сдаются ответственному лицу, если иное не предусмотрено правилами организации. Хранение их на рабочем месте возможно, если помещение оборудовано электронным замком и сейфом;
• при передаче документа между несколькими исполнителями ими оформляется расписка, в которой также указывается время передачи, или же передача оформляется секретарем и регистрируется в журнале учета движения документов с грифом секретности.

Гриф секретности представляет собой штамп, подтверждающий права собственности организации на данные, в графах которого указывается основная учетная информация:

• уровень конфиденциальности;
• порядок использования документа;
• количество экземпляров;
• место нахождения каждого экземпляра;
• отметка об исполнителе и его подпись.

На обороте титульного листа документа конфиденциального характера руководитель компании пишет перечень сотрудников, которым он разрешает пользоваться этим документом в работе. Для вывода на печать конфиденциальных документов используется отдельный принтер, не подключенный к общей сети, или отдельное помещение. Эту задачу также выполняет ответственный делопроизводитель. Регистрируются документы, содержащие конфиденциальную информацию, в отдельном учетном регистре. Если существует большой поток документов с грифом «КТ», допустимо ведение трех журналов: для входящих, исходящих и внутренних документов компании. Журналы учета также хранятся в опечатанном шкафу.

При поступлении в организацию пакета документов, содержащих коммерческую тайну контрагента, вскрытие конверта производится ответственным секретарем. При этом проверяется целостность корреспонденции, наличие всех документов и количество листов в них. Если выявляется недостача, об этом составляется акт в двух экземплярах, один из которых направляется отправителю.

При создании документа, содержащего коммерческую тайну, внутри организации все черновики и первоначальные редакции файлов уничтожаются с составлением об этом отдельного акта. 

Также среди правил работы с конфиденциальными документами следующее:

• их запрещено выносить из помещения организации без письменного разрешения руководителя;
• копирование производится только ответственным делопроизводителем с разрешения руководителя, и учету подлежит каждая копия. После использования в работе копии уничтожаются с составлением акта;
• в конце года комиссия проверяет наличие и сохранность всех документов с грифом «КТ», соответствие их места хранения заявленному, принимает решение об уничтожении отработанных;
• при увольнении делопроизводителя он передает все дела вновь назначенному лицу по акту.

Соблюдение этих правил позволит обезопасить коммерческую тайну организации от утечек.

01.04.2020