d9e5a92d

Информация, относимая к КТ

- сведения о нарушениях законодательства РФ и фактах привлечения к ответственности за совершение этих нарушений;
- сведения, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлены различными федеральными законами (например, открытые обязанность обладателя КТ по мотивированному требованию госоргана предоставлять на безвозмездной основе КТ и обязанность госорганов не разглашать КТ;
- что обладателем информации, составляющей КТ, полученную в рамках трудовых отношений, является работодатель;
На законодательном уровне не урегулирован вопрос: являются ли разглашением КТ действия сотрудника в процессе сотрудничества (в первую очередь негласного) с контролирующими и правоохранительными органами;
Согласно закону, меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
- определение перечня информации, составляющей КТ;
- ограничение доступа к информации, составляющей КТ, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
- учет лиц, получивших доступ к информации, составляющей КТ, и (или) лиц, которым такая информация была предоставлена или передана;
- регулирование отношений по использованию информации, составляющей КТ, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанесение на материальные носители (документы), содержащие информацию, составляющую КТ, грифа Коммерческая тайна с указанием обладателя этой информации (для юридических лиц -полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
В целях охраны конфиденциальности информации работодатель обязан:
- ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой является работодатель и его контрагенты;
- ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
- создать работнику необходимые условия для соблюдения им установленного работодателем режима КТ.
В целях охраны конфиденциальности информации работник обязан:
- выполнять установленный работодателем режим КТ;
- не разглашать информацию, составляющую КТ, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;
- не разглашать информацию, составляющую КТ, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось;
- возместить причиненный работодателю ущерб, если работник виновен в разглашении информации, составляющей КТ, ставшей ему известной в связи с исполнением им трудовых обязанностей;
- передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую КТ.
Руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства РФ о КТ. Отношения между обладателем информации, составляющей КТ, и его контрагентом в части, касающейся охраны конфиденциальности информации, регулируются законом и договором.
Следует учитывать, что претендовать на ознакомление с КТ могут в пределах своей компетенции:
- прокурор в порядке надзора и в других случаях, предоставленных ему законом;
- правоохранительные органы по возбужденному уголовному делу;
- налоговые органы;
- аудиторские фирмы (по просьбе самого владельца);
- профсоюзы;
- санэпидемстанции;
- экологические организации;
- организации и частные лица, вступающие с компанией в гражданско-правовые отношения.
Вопросы, связанные с КТ рассматриваются также в гражданском и трудовом кодексе.
Методы определения коммерческой тайны Признаки и особенности коммерческой тайны:
- коммерческая ценность;
- недоступность;
- охраняемость;
- не требует официального признания ее охраноспособности, государственной регистрации или выполнения каких-либо иных формальностей, уплаты государственных пошлин;
- неограниченность срока охраны.
Методы определения коммерческой тайны (КТ) компании:


- тотальный - сущность этого метода заключается в том, что КТ компании признается все, за исключением информации, которая не может являться КТ по соответствующему ФЗ. Этот способ наиболее прост и наименее эффективен, так как реализация мер по защите КТ, определенной таким способом, затруднительна и будет мешать обеспечению оптимальной работоспособности компании;
- плагиаторский - данный метод основан на том, что необходимо выяснить, какую именно информацию аналогичные профильные компании считают КТ и поступить так же. Претворение данного способа в жизнь, как правило, затрудняется тем, что при определении КТ очень мало универсальных положений, которые подходят абсолютно всем;
- аналитический - метод заключается в ролевых играх" и давно используется психологами, следователями, маркетологами и многими другими. Сущность его заключается в анализе, какая именно информация могла бы заинтересовать конкурентов или недоброжелателей и разглашение какой информации принесет компании убытки;
- экспертный - приглашение независимых экспертов. Наиболее эффективный, но и самый дорогостоящий метод.

Информация, относимая к КТ

Обычно к КТ рекомендуется отнести следующее:
- сведения о производстве (структура кадров и производства, характер производства, условия производства, организация труда, сведения о производственных возможностях компании, данные о типе и размещении оборудования и т. д.);
- информация управленческого характера (сведения о перспективных методах управления);
- плановые документы (планы развития, планы инвестиций компании, планы запасов и готовой продукции, план закупок и продаж и т.д.);
- финансовые сведения;
- данные по рынку (состояние рынков сбыта, обзоры рынка, рыночная стратегия, коммерческие замыслы, коммерческо-политические цели и т.д.);
- сведения о партнерах (клиентура, покупатели, поставщики, посредники и потребители, негласные компаньоны, коммерческие связи и т.д.);
- информация о переговорах (сведения о фактах подготовки и ведения переговоров, сроки, выделенные для проработки и заключения сделки, сведения о лицах, ведущих переговоры, руководстве компании, их характеристики и т.д.);
- контракты (условия по сделкам и соглашениям, условия контрактов, особые условия контрактов, условия платежа по контрактам и т.д.);
- ценовая информация (сведения об элементах и расчетах цен, структура цены, скидки и т.д.);
- торги, аукционы;
- информация технологического характера (сведения, связанные с технологической информацией, технологические достижения и т.д.).
Ответственность за разглашение КТ
Уголовная ответственность. В части первой статьи 183 УК РФ определено, что за собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений предусмотрен штраф до 80 000 рублей или в размере дохода осужденного за период от 1 до 6 месяцев или лишение свободы на срок до двух лет.
Однако реально возможно применить данную статью только при условии, что:
- обязанность работника хранить КТ была предусмотрена трудовым договором;
- составлен перечень сведений, составляющих КТ компании, и утвержден ее руководством;
- данный перечень доведен до сведения работника под роспись.
За разглашение информации, составляющей коммерческую тайну, соответствующими статьями ТК, АК и ГК предусмотрена также административная, дисциплинарная и имущественная ответственность.
Возмещение убытков, вызванных разглашением сведений, относящихся к коммерческой тайне
Возмещение убытков в полном объеме в соответствии с ГК РФ:
убытки = реальный ущерб + упущенная выгода,
где: реальный ущерб = фактически понесенные расходы на восстановление нарушенного права + расходы, которые лицо должно будет произвести для восстановления нарушенного права + утрата или повреждение имущества; упущенная выгода = неполученные доходы, которые лицо получило бы, если бы его права не были нарушены.
Отметим, что при разглашении информации, составляющей КТ, у ее обладателя отсутствует утрата или повреждение имущества, поскольку такая информация имуществом не является. Если лицо отказывается возместить убытки в добровольном порядке, то обладатель информации, чьи права нарушены, может обратиться в суд.
Следует помнить, что если информация, составляющая коммерческую тайну, попала к работнику случайно или по халатности другого сотрудника, который не предупредил о ее ценности, то наказание на этого работника наложить не смогут.

Построение системы информационной безопасности компании

Защита конфиденциальной информации предполагает применение следующего комплекса мер:
- правовые меры;
- меры, связанные с кадровой работой;
- меры, направленные на создание конфиденциального делопроизводства;
- режимные мероприятия;
- организационные мероприятия;
- мероприятия по инженерно-технической защите;
- мероприятия по применению технических средств защиты информации. Правовые меры предполагают в том числе:
- проведение всех правовых мероприятий, предусмотренных ФЗ О коммерческой тайне;
- внесение изменений и дополнений в нормативно-правовые и учредительные акты компании;
- включение положений о защите конфиденциальной информации в договора, заключаемые компанией.

Изменения в документах компании

Изменения и дополнения, вносимые в нормативно-правовые, учредительные и иные документы компании для обеспечения защиты коммерческой тайны.
В Устав компании рекомендуется добавить формулировки:
Компания имеет право: определять состав, объем и порядок защиты сведений, составляющих КТ, требовать от сотрудников обеспечения ее сохранности";
Компания обязана обеспечить сохранность КТ".
В Коллективный договор рекомендуется добавить формулировки:
В целях недопущения нанесения экономического ущерба коллективу руководство компании (в том числе и руководство всех самостоятельных подразделений) обязуется обеспечить разработку и осуществление мероприятий по определению и защите КТ.
Трудовой коллектив принимает на себя обязательство по соблюдению установленных в компании требований режима КТ.
Руководству компании учесть требования режима КТ в правилах внутреннего трудового распорядка.
Нарушителей требований режима КТ руководство компании может привлекать к дисциплинарной, административной и уголовной ответственности в соответствии с действующим законодательством.
В Правила внутреннего трудового распорядка для рабочих и служащих компании рекомендуется добавить формулировки:
При поступлении на работу или переводе сотрудника в установленном порядке на другую работу, связанную с КТ компании, а также при его увольнении, администрация обязана проинструктировать сотрудника с требованиями режима КТ, а также оформить письменное обязательство о ее неразглашении.
Администрация компании вправе принимать решение об отстранении от работ связанных с КТ лиц, которые нарушают установленные требования режима КТ.
Сотрудники компании обязаны соблюдать требования режима КТ предприятия.
Руководство компании, руководители подразделений обязаны:
- обеспечить строгое сохранение КТ, постоянно осуществлять организаторскую, экономическую и воспитательно-профилактическую работу, направленную на соблюдение режима КТ компании;
- включать в должностные инструкции и положения обязанности по сохранению КТ;
- неуклонно выполнять требования Устава, Коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части соблюдения режима КТ, обеспечения безопасности и сохранения КТ.
Договор о сохранении КТ между сотрудником и компанией предполагает:
- все необходимые реквизиты, предусмотренные в ГК РФ для договоров;
- определение предмета договора в форме обязанности сотрудника хранить в тайне сведения, составляющие КТ как в период всей работы в компании, так и в течении определенного времени после увольнения;
- правовой режим сведений, составляющих КТ, в том числе перечень действий сотрудника, определяющий понятие разглашение КТ;
- ответственность за нарушение условий договора.
Во все заключаемые договора включить условия:
- обязательство сторон принимать все необходимые меры для предотвращения разглашения КТ;
- документы или изделия будут рассматриваться сторонами как строго конфиденциальные;
- стороны будут принимать все необходимые меры для предотвращения нарушений правил пользования этими документами или изделиями, установленных в соответствующих статьях договора;
- стороны обязуются не передавать без предварительного согласия другой стороны оригиналы документов (изделий) или их копии любого рода третьим сторонам;
- стороны обязуются обеспечить ознакомление с КТ предмета договора лишь строго ограниченное число своих работников, у которых должны быть взяты подписки о неразглашении КТ, содержащейся в предмете или являющейся предметом договора;
- ответственность сторон за разглашение КТ в виде компенсации убытков.

Основы конфиденциального делопроизводства

Составные части делопроизводства:
- материальное (например, бумажное) делопроизводство;
- электронное делопроизводство;
- системы взаимодействия и сопряжения материального и электронного делопроизводства.
Структура делопроизводства:
- документооборот компании;
- информационное хранилище компании.
При создании конфиденциального делопроизводства необходимо ответить на
вопросы:
- кто осуществляет присвоение и снятие грифа конфиденциальности;
- какое подразделение (должностное лицо) ведет учет конфиденциальных документов (ведение реестра), а также учет их перемещения;
- как осуществлять контроль и учет конфиденциальных документов (в бумажном или в электронном исполнении);
- кто определяет, какие документы содержат конфиденциальную информацию;
- какие документы (кроме конфиденциальных) включаются в систему конфиденциального делопроизводства (бланки строгой отчетности, номерные документы и др.);
- как создавать конфиденциальное делопроизводство - отдельно или на базе существующего открытого делопроизводства;
- какой порядок создания конфиденциальных документов;
- какой порядок уничтожения конфиденциальных документов;
- какой порядок выноса конфиденциальных документов с контролируемой территории;
- как обеспечить физическую сохранность документов при их хранении;
- каким образом регламентировать размещение информации в СМИ, Интернете и в рекламных материалах;
- какой порядок доступа к конфиденциальным документам представителей государственных структур;
- какой порядок перемещения конфиденциальных документов между территориально удаленными объектами компании;
- как будет осуществляться контроль за конфиденциальным делопроизводством, в том числе за использованием копировальномножительной техники.

Порядок создания конфиденциального материального делопроизводства

1 Этап - создание обычного материального делопроизводства.
2 Этап - определение перечня сведений конфиденциального характера и
документов, содержащих конфиденциальные сведения.
3 Этап - утверждение перечня сведений конфиденциального характера у
руководства, определение порядка и сроков пересмотра данного перечня, а также снятие грифа конфиденциальности.
4 Этап - определение правил конфиденциального материального
делопроизводства (создание, регистрация, перемещение, хранение документов) на основе общего материального делопроизводства.
5 Этап - определение порядка допуска сотрудников к сведениям конфиденциального характера.
6 Этап - заключение договоров о нераспространении конфиденциальных сведений между сотрудниками, которые будут допущены к работе с конфиденциальной информацией, и руководством организации.
7 Этап - создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).
8 Этап - доведение нормативных документов до сотрудников в рамках функциональных обязанностей.
9 Этап - создание механизмов контроля за соблюдением конфиденциального делопроизводства.
10 Этап - создание механизма ответственности за нарушение правил конфиденциального делопроизводства.

Виды материального делопроизводства

Материальное делопроизводство, связанное со стандартными, но специфическими задачами, включает в себя:
- бухгалтерию;
- учредительные документы;
- судебно-процессуальные документы;
- договорные документы и т.д.
Материальное делопроизводство можно также разделить на внешнее и внутреннее.
Внешнее делопроизводство, включает в себя следующие процессы:
- доставку входящей корреспонденции (в бумажном виде, в виде факса и т.д.);
- отправление исходящей корреспонденции (в бумажном виде, в виде факса и т.д.).
Внутреннее делопроизводство предполагает следующие действия:
- хранение документов (у сотрудников, в Секретариате);
- создание документов;
- издание нормативных документов руководством организации (приказы, распоряжения и т.д.);
- регистрация документа в Секретариате;
- движение документа внутри организации. Создание реестровой системы передачи документов;
- размножение документов (снятие копий);
- контроль за исполнением документов;
- создание архивов документов;
- экспертизу ценности документов;
- возможность использования в работе документов, определенных в архив;
- уничтожение документов.
Существуют нормативные документы, регулирующие функционирование делопроизводства, в том числе конфиденциального:
- о внесении изменений и дополнений в нормативно-правовые документы организации:
в Устав организации;
- в ‘ ‘ Коллективный договор";
- в правила внутреннего трудового распорядка для сотрудников;
- в трудовой договор;
- во все заключаемые договора.
Для сохранения конфиденциальности в организации необходимы, в частности:
- договор между руководством компании и сотрудником о сохранении конфиденциальной информации;
- инструкция по обеспечению сохранности конфиденциальной информации в компании;
- инструкция по организации делопроизводства;
- инструкция по конфиденциальному делопроизводству;
- положение о секретариате;
- должностные обязанности сотрудников секретариата по обеспечению делопроизводства.
Корпоративное конфиденциальное электронное делопроизводство должно состоять из следующих взаимосвязанных систем:
- системы электронного конфиденциального документооборота;
- системы защиты информации, циркулирующей в системе электронного
конфиденциального документооборота;
- системы электронного конфиденциального информационного хранилища;
- системы сопряжения конфиденциального электронного и материального
документооборота.
Система защиты конфиденциального электронного делопроизводства должна состоять из следующих взаимосвязанных блоков:
- блок технических (программных) средств защиты электронного делопроизводства;
- блок технических средств защиты электронного делопроизводства, связанных с
нейтрализацией побочных электромагнитных излучений и наводок;
- блок методов защиты электронного делопроизводства, связанных с человеческим
фактором и решением кадровых вопросов;
- блок организационных методов защиты электронного делопроизводства.

Система защиты конфиденциального электронного делопроизводства

Система защиты конфиденциального электронного делопроизводства должна состоять из следующих взаимосвязанных блоков:
1 рубеж - системы защиты информации, предусмотренные программным обеспечением, на которой работает компьютерная сеть (средства защиты Windows, MS Office и т.д.);
2 рубеж - системы защиты информации, встроенные в саму систему электронного делопроизводства;
3 рубеж - системы защиты информации, дополнительно установленные в компьютерной сети на сервере и на рабочих местах пользователей. Блок технических (программных) средств защиты электронного делопроизводства должен предусматривать:
- криптографическую защиту информации при хранении и при перемещении электронных документов по корпоративной компьютерной сети, сети Интернет, электронной почте;
- защиту информации от несанкционированного доступа;
- мандатный принцип доступа пользователей к информационным ресурсам электронного делопроизводства;
- контроль и защиту электронного документа от просмотра, изменения, копирования, распечатывания (перевода электронного документа в материальную форму);
- контроль целостности и достоверности электронного документа, а также подтверждение авторства исполнителя с помощью электронной цифровой подписи;
- защиту от вредоносных программ (вирусов).
Более подробно программные средства защиты электронного документооборота предприятия будут рассматриваться в теме IT (информационные технологии).

Основы IT-безопасности

Информация, представленная в электронном виде, может быть:
- утеряна;
- изменена;
- блокирована;
- несанкционированный доступ (НСД).
Для борьбы с НСД наиболее эффективным является использование специальных программно-аппаратных контролеров управления доступом к информации, а также криптографическая защита самой информации.
Контролеры доступа к информации выполняют следующие функции:
- идентификация пользователей и мандатный принцип доступа пользователей; контроль перемещения конфиденциальных документов по сети;
- контроль буфера обмена операционных систем компьютеров, что исключает возможность сделать копию всего документа или его части через буфер обмена;
- удаленный контроль экрана компьютера со стороны СБ или системного администратора;
- контроль действий системного администратора с помощью одного журнала регистрации так называемого журнала событий аудита. В нем регистрируется информация об управляющих воздействиях различных администраторов на информационную систему.

Невозможно ограничить привилегии администратора, однако понимание того, что любое неправомерное действие будет зафиксировано и не останется безнаказанным, сделает его внимательнее и предотвратит немало ошибок.
2. Разграничительные. В этих целях, как правило, реализуется так называемое полномочное управление доступом.

Его суть состоит в следующем: для каждого пользователя устанавливается определенный уровень допуска к конфиденциальной информации. Каталогам или файлам назначается категория конфиденциальности, например конфиденциальная информация, строго конфиденциальная информация.

При этом доступ к файлу пользователь получит только в том случае, если его уровень допуска не ниже, чем уровень конфиденциальности файла. Возможен и другой вариант, когда каждому пользователю на сервере создается папка, к которой только он имеет доступ.
3. Защитные. Защита от несанкционированного доступа неуполномоченных лиц.
4. Запрещающие. Используется контроль потоков, запрещающий, например, перемещение конфиденциального документа в неконфиденциальный каталог.



Содержание раздела