Особенности работы с конфиденциальными документами

Введение 

     Предпринимательская деятельность во всех сферах неразрывно связана с получением и использованием различного рода информации. Причем в современных условиях информация представляет собой особого рода товар, имеющий определенную ценность. Для предпринимателя зачастую наиболее ценной является информация, которую он использует для достижения целей фирмы и разглашение которой может лишить его возможностей реализовать эти цели, то есть создает угрозы безопасности предпринимательской деятельности. Конечно, не вся информация может, в случае ее разглашения, создавать эти угрозы, однако существует определенная ее часть, которая нуждается в защите. Такую информацию называют конфиденциальной.¹

     Конфиденциальная  информация – это документированная (то есть зафиксированная на материальном носителе и с реквизитами, позволяющими ее идентифицировать) информация, доступ к которой ограничивается в соответствии с законодательством РФ. Часть этой коммерческой информации составляет особый блок и может быть отнесена к коммерческой тайне.

     Объектом  исследования настоящей работы является формирование и функционирование системы информационной безопасности на предприятии.

     Предметом исследования является деятельность по обеспечению безопасности конфиденциальной информации на предприятии.

     Цель  данной работы – рассмотреть особенности работы с конфиденциальными документами.

       В задачи исследования, в соответствии с поставленной целью, входит: 

1. Раскрыть  понятие конфиденциальности, как главного условия информационной безопасности предприятия;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Рассмотреть особенности подбора персонала для работы с документами, содержащими коммерческую тайну;
4. Изучить политику безопасности в организации доступа к сведениям конфиденциального характера и порядок работы персонала с конфиденциальными документами.
 

1. Информационная безопасность предприятия

       Издавна считалось, кто владеет информацией - тот владеет ситуацией. Многие собственники в целях защиты своих интересов засекречивают информацию и тщательно ее охраняют или патентуют. Засекречивание информации приводит к постоянному совершенствованию средств и методов добывания охраняемой информации; и к совершенствованию средств и методов защиты информации².

     Предприниматель в своей деятельности имеет дело с самой разнообразной информацией. Однако он не может всю информацию, которой обладает, сделать закрытой для внешних пользователей. Предприниматель в плане защиты наиболее важной информации решает сложную проблему. С одной стороны, он должен предоставить максимум информации о своей деятельности потребителям, контрагентам, кредиторам и т.п. для того, чтобы они сделали выбор в его пользу. Реклама привлекает покупателей, деловые связи, патенты и лицензии, «ноу-хау» – контрагентов, финансовое положение – инвесторов. С другой стороны, предприниматель должен оградить названные группы лиц, а также своих конкурентов от информации, утечка или разглашение которой может представлять угрозу его экономической безопасности. В выборе «золотой середины», то есть определении того оптимального количества информации, которого будет достаточно для внешних пользователей и оно не будет представлять угроз экономической безопасности, и состоит первый шаг предпринимателя в процессе защиты информации, составляющей коммерческую тайну.

     Получить  информацию о деятельности фирмы  можно двумя способами: законным и незаконным. Законный способ – это получение информации из средств массовой информации, рекламных проспектов фирмы, статей о фирме, с выставок, пресс-конференций. Эта информация специально готовится работниками фирмы для открытого пользования всеми заинтересованными лицами. Незаконный способ – это получение информации, не предназначенной для внешних пользователей, без согласия руководства фирмы, с нарушением действующего законодательства и приводящее к прямым экономическим потерям для фирмы, либо к упущенной выгоде.

     В связи с этим необходимо определить – какая информация должна быть отнесена к коммерческой тайне и  требует защиты. Важность информации определяется ее ценностью для предпринимателя, которая, по мнению ряда специалистов³, должна включать полезность (создание субъекту выгодных условий для принятия оперативного решения и получения эффективного результата), своевременность, достоверность и полноту.

     Прежде  чем приступить к определению  информации, относящейся к категории коммерческой тайны, предприниматель должен учесть, что вся имеющаяся информация по степени конфиденциальности, утрата которой может вызвать различные по тяжести последствия, может быть распределена по следующим группам:

1. Высшая степень конфиденциальности. Данная информация является ключевой в деятельности фирмы, основой ее нормального функционирования. Утрата или разглашение этой информации нанесет непоправимый ущерб деятельности фирмы. Это – угроза высокой степени тяжести, последствия реализации которой могут ликвидировать саму фирму.
2. Строго конфиденциальная информация. Утечка этой информации может вызвать значительные по тяжести последствия. Это информация о стратегических планах фирмы, о перспективных соглашениях и т.п.
3. Конфиденциальная информация – ее разглашение наносит фирме ущерб, сопоставимый с текущими затратами фирмы, ущерб может быть преодолен в сравнительно короткие сроки.
4. Информация ограниченного доступа – ее утечка оказывает незначительное негативное воздействие на экономическое положение фирмы (должностные инструкции, структура управления).
5. Открытая информация. Ее распространение не представляет угроз экономической безопасности фирмы. Наоборот, отсутствие данной информации может оказать негативное воздействие на экономическое положение фирмы.

       Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных.⁴

     Информация, составляющая коммерческую тайну, может  существовать в бумажной форме, на дискетах и лазерных дисках, на «жестком» диске компьютера, в памяти сотрудников.

     Регулирование отношений, связанных с использованием конфиденциальной информацией должно начинаться с основного документа – устава, в котором дается понятие коммерческой тайны и устанавливается ответственность за ее несоблюдение.

     Для более эффективной организации  работы по защите коммерческой информации весьма целесообразно разработать и утвердить Положение о коммерческой тайне на предприятии (фирме). Этот документ основывается на действующем законодательстве и отражает специфику данного субъекта предпринимательства. Он включает перечень сведений, составляющих коммерческую тайну, степень конфиденциальности информации, порядок доступа к информации и круг работников предприятия, допущенных к информации той или иной степени конфиденциальности.

       Конфиденциальность - правила и условия сохранности передачи данных и информации. Различают конфиденциальность внешнюю - как условие неразглашения информации во внешнюю среду, и внутреннюю - среди персонала. 

2. Сведения, относящиеся к коммерческой тайне

     К коммерческой тайне могут быть отнесены самые разнообразные сведения, связанные  с производством, технологией, управлением, финансами и другими вопросами деятельности предприятия. На практике наряду с термином “коммерческая тайна” широко используются такие термины, как “конфиденциальная информация”, “ноу-хау”, “секреты производства”. Все они, в сущности, обозначают одно и те же понятие, которое в Гражданском кодексе РФ именуется “коммерческой тайной”.

     В соответствии со ст.139 Гражданского кодекса  РФ коммерческая тайна - это информация, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

       Информация  может быть разделена на три категории.⁵

       Первая - несекретная (или открытая), которая предназначена для использования как внутри фирмы, так и вне нее.

       Вторая - для служебного пользования, которая  предназначена только для использования  внутри фирмы. Она подразделяется, в  свою очередь, на две подкатегории:

1. Доступную для всех сотрудников фирмы;
2. Доступную для определенных категорий сотрудников, но могущую быть переданной в полном объеме другому сотруднику для производства необходимой работы.

       Третья - секретная информация (или информация ограниченного доступа), которая  предназначена для использования только специально уполномоченными сотрудниками фирмы и не предназначена для передачи иным сотрудникам в полном объеме или по частям.

       Информацию  второй и третьей категории обычно называют конфиденциальной.⁶

       Условия, при которых информация может  быть отнесена к конфиденцианой, перечислены в ст.13 части 1 Гражданского кодекса РФ⁷. К ним относятся:

1. Действительная или потенциальная коммерческая ценность информации в силу ее неизвестности третьим лицам;
2. Отсутствие свободного доступа к этой информации на законном основании;
3. Принятие обладателем информации необходимых мер к охране ее конфиденциальности.

     Таким образом, обеспечение конфиденциальности документной информации содержит три аспекта:

1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной;
2. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;
3. Организация делопроизводства с конфиденциальными документами. ⁸

     По  функционально-целевому признаку выделяются следующие составляющие коммерческой тайны:

     1. Деловая информация: (сведения о контрагентах, сведения о конкурентах, сведения о потребителях, сведения о деловых переговорах, коммерческая переписка, сведения о заключенных и планируемых контрактах).

     2. Научно-техническая информация: (содержание и планы научно-исследовательских работ, содержание «ноу-хау», рационализаторских предложений, планы внедрения новых технологий и видов продукции)

     3. Производственная информация: (технология, планы выпуска продукции, объем незавершенного производства и запасов, планы инвестиционной деятельности).

     4. Организационно-управленческая информация: (сведения о структуре управления фирмой не содержащиеся в уставе, оригинальные методы организации управления, система организации труда).

     5. Маркетинговая информация: (рыночная стратегия, планы рекламной деятельности, планы обеспечения конкурентных преимуществ по сравнению с продукцией других фирм, методы работы на рынках, планы сбыта продукции, анализ конкурентоспособности выпускаемой продукции).

     6. Финансовая информация: (планирование прибыли, себестоимости, ценообразование – методы расчета, структура цен, скидки, возможные источники финансирования, финансовые прогнозы).

     7. Информация о персонале фирмы: (личные дела сотрудников, планы увеличения (сокращения) персонала, содержание тестов для проверки вновь принимаемых на работу).

     8. Программное обеспечение: (программы, пароли, коды доступа к конфиденциальной информации, расположенной на электронных носителях).⁹

     Как правило, именно перечисленная выше информация в наибольшей степени интересует конкурентов, партнеров, банки, криминальные структуры.

       Согласно  ФЗ "Об информации, информационных технологиях  и о защите информации" ¹⁰ не могут составлять коммерческую тайну:

1. Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;
2. Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
3. Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
4. Документы о платежеспособности;
5. Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
6. Документы об уплате налогов и обязательных платежах;
7. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
8. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.

Перечисленные сведения предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством РФ, а также трудового коллектива предприятия¹¹. 

3. Подбор персонала для работы с документами, содержащими конфиденциальную информацию. 

       В решении проблемы информационной безопасности значительное место занимает построение эффективной системы организации  работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал обычно включает в себя всех сотрудников данной фирмы, в том числе и руководителей.

       Персонал  генерирует новые идеи, новшества, открытия и изобретения, которые продвигают научно-технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Каждый сотрудник объективно заинтересован в сохранении в тайне тех новшеств, которые повышают прибыли и престиж фирмы. Несмотря на это персонал, к сожалению, является в то же время основным источником утраты (разглашения, утечки) ценной и конфиденциальной информацией. ¹²

       Никакая, даже самая совершенная в организационном  плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию. Многие специалисты по защите информации считают, что при правильной организации работы с персоналом защита информации фирмы сразу обеспечивается не менее чем на 80%, без применения каких-либо дополнительных методов и средств защиты¹³.

       Проведение  кадровой политики в области защиты коммерческой тайны имеет немаловажное, решающее значение при сохранении секретов. Умение правильно руководить сотрудниками, подбирать квалифицированно кадры, обеспечить защиту информации ценится очень высоко.

     Организация эффективной защиты экономической  безопасности фирмы со стороны персонала  включает три основных этапа работы с сотрудниками, допущенными к  конфиденциальной информации:

1. предварительный (в период предшествующий приему на работу);
2. текущий (в период работы сотрудника);
3. заключительный (во время увольнения сотрудника).

     Предварительный этап является наиболее ответственным и, соответственно, более сложным. В случае возникновения необходимости принять нового сотрудника на работу, связанную с допуском к конфиденциальной информации, целесообразнее всего соблюсти следующую технологию приема.

     Прежде  всего, на основании должностной  инструкции и особенностей деятельности разрабатываются требования к кандидату на должность. Они включают не только формальные требования – пол, возраст, образование, опыт работы, но и ряд морально-психологических качеств, которыми должен обладать кандидат. Это позволяет уточнить – какой работник необходим фирме, а самому кандидату – сопоставить собственные качества с требующимися.

     Затем производится подбор кандидатов на вакантную должность. Методы подбора кандидатом могут быть разнообразными. Предпочтение следует отдавать тем методам, которые минимизируют возможность проникновения недобросовестных людей, либо представляющих интересы конкурентов или криминальных структур. К ним относятся:

• обращение в службы занятости, агентства по найму рабочей силы и прочие аналогичные организации;
• поиск кандидатов среди студентов и выпускников высших учебных заведений;
• подбор кандидатов по рекомендациям фирм-партнеров;
• подбор кандидатов по рекомендациям надежных сотрудников фирмы.

       Подбор, основанный на случайном обращении  кандидатов непосредственно в фирму, может представлять угрозу ее экономической безопасности в будущем.

     В случае успешного прохождения кандидатом проверки и признания его соответствующим  должности, осуществляется заключение (подписание) двух документов:

• трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;
• договора (обязательства) о неразглашении конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы в фирме, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

       Работник  обязан строго хранить в тайне  сведения, отнесенные к коммерческой тайне предприятия, ставшие ему  известными по службе или иным путем. Разглашение коммерческой тайны  предприятия, передача третьим лицам, публикация без согласия предприятия, а также использование для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб предприятию, влечет уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством.¹⁴

     В процессе постоянной работы необходимо определение порядка доступа сотрудников к конфиденциальной информации (коммерческой тайне). Все работники фирмы (предприятия), имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрен их должностными обязанностями и требуется для работы. В связи с этим каждая должность должна предусматривать право получения определенного объема конфиденциальной информации, выход за который будет считаться нарушением обязанностей, и представлять определенную угрозу безопасности фирмы. Размер этого перечня определяется руководителем фирмы, либо специальной комиссией. В соответствии с ним каждый работник получает допуск к конфиденциальной информации определенного уровня.

     Эффективным способом защиты информации, является ограничение физического доступа (перемещения) персонала в другие зоны, не связанные с функциональными  обязанностями работников. Посещение же «закрытых» территорий производится только с разрешения руководства.

     Третий  этап – увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности. Уволившийся работник, не имея обязанностей перед фирмой, может поделиться ценными сведениями с конкурентами, криминальными структурами. Для снижения опасности таких последствий при увольнении работник предупреждается о запрещении использования сведений в своих интересах или интересах других лиц и дает подписку о неразглашении конфиденциальной информации (коммерческой тайны) после увольнения в течение определенного срока. В противном случае все убытки, которые будут причинены предпринимателю вследствие разглашения информации, могут быть взысканы в судебном порядке.¹⁵

       При увольнении сотрудника, ответственного за документы с грифом «КТ», производится проверка числящихся за ним документов и их передача вновь назначенном  улицу. Акт приема-передачи этих документов утверждается руководителем предприятия или его заместителем.¹⁶ 

4. Особенности работы с конфиденциальными документами

       Конфиденциальная  информация, в том числе коммерческая тайна, как правило, содержится в  виде каких-либо документов – традиционных, бумажных, либо электронных. Эти источники информации могут являться объектами неправомерных посягательств и, следовательно, нуждаются в защите. Все документы в фирме делятся на три категории: входящие, исходяшие и внутренние. Первым шагом в обеспечении защиты информации является выявление из общей массы документов, содержащих ценную для фирмы коммерческую информацию. Составляется перечень конфиденциальных документов. Затем вводятся степени конфиденциальности информации (или грифы ограничения доступа к документам) и каждому документу присваивается соответствующий гриф. В перечне документов указываются категории работников, которые по должности могут пользоваться этими документами. Гриф ограничения доступа к документу устанавливается на определенный срок. Каждый документ, отнесенный к той или иной степени конфиденциальности должен на титульном (первом) листе иметь в правом верхнем углу пометку о грифе. ¹⁷

       Ведение делопроизводства, обеспечивающего  учет и сохранность документов, содержащих конфиденциальные сведения, предусматривает  выполнение ряда рекомендаций.

       Приказом руководителя предприятия назначается должностное лицо (лица), ответственное за учет, хранение и использование документов, содержащих конфиденциальные сведения. Это может быть сотрудник, для которого работа с документами КТ является основной служебной обязанностью, или секретарь-референт предприятия. Эти лица несут персональную ответственность за утерю документов или утечку информации из них.

       Все документы, содержащие конфиденциальные сведения, подлежат учету и специальному обозначению. На документе проставляют  гриф ограничения доступа в правом верхнем углу первого листа с  указанием номера экземпляра. На обороте листа документа, имеющего гриф «Конфиденциально», руководитель пишет фамилии тех должностных лиц, которым разрешено пользоваться этим документом, например:

Разрешаю:

1. Лаврову  Е.М.

2. Казакову  А.Л.

Подпись руководителя

Дата ¹⁸

       Печатание документов с грифом «КТ» производится централизованно, в специально отведенном помещении (рабочем месте), исключающем доступ посторонних лиц. Отпечатанные и подписанные документы передаются для регистрации должностному лицу, ответственному за их учет. Черновики, файлы, варианты документа уничтожаются этим лицом с подтверждением факта уничтожения записью на копии документа:

«Черновик (или файл) уничтожен. Подпись. Дата».¹⁹

       Все документы, содержащие конфиденциальную информацию, должны регистрироваться отдельно от остальной документации в «Журнале регистрации документов с грифом «КТ».

Журнал регистрации  документов с грифом «КТ» 
Номер документа 
Дата регист-рации док-та 
Дата и номер док-та (для входящих) 
Откуда поступил или куда направлен 
Краткое содержание (заголовок) 
Кол-во листов 
Кол-во экземпля-ров 
Исполнитель 
Примечание²⁰

       При значительном объеме документов могут  быть заведены журналы отдельно для  входящих, исходящих и внутренних документов предприятия, содержащих гриф «КТ». Все листы журналов, учитывающих  документы, содержащие конфиденциальную информацию, нумеруются, прошиваются и опечатываются, в конце журнала в заверительном листе указывается общее количество листов (цифрами и прописью).

       Движение (выдача и возврат) документов с грифом «КТ» должно своевременно отражаться в «Журнале учета выдачи документов с грифом «КТ».

Журнал учета  выдачи документов с грифом «КТ» 
Индекс док-та 
Дата выдачи 
Краткое содержание (заголовок) 
Кол-во листов 
Кол-во экз. 
Кому выдано (ФИО) 
Подпись за полученный документ 
Отметка о возврате (подпись и дата) 
Примечание

       При выдаче документа секретарем-референтом работник, получивший документ с грифом «КТ», должен сверить № полученного документа с № в журнале, проверить количество листов и поставить в журнале свою подпись. При возврате документа с грифом «КТ» секретарь-референт сверяет № документа по журналу, проверяет количество листов документа и в присутствии работника ставит в графе «Отметка о возврате» свою подпись и дату возврата документа.

       Передача  документов и дел другим работникам предприятия, имеющим допуск к этим документам, производится только через секретаря-референта с обязательной записью в журнале.

       Все дела с грифом «КТ», журналы (картотеки) учета документов «КТ» в обязательном порядке вносятся в номенклатуру дел предприятия.

       По  окончании года специально созданная  комиссия предприятия выполняет следующие работы:

• проверяет наличие всех документов с грифом «КТ»;
• отбирает документы с грифом «КТ» для архивного хранения;
• отбирает документы с грифом «КТ» для уничтожения.²¹