Ограничение доступа к конфиденциальной информации

Ограничение доступа к конфиденциальной информации способствует созданию наиболее эффективных условий сохранности конфиденциальной информации. Необходимо четко определять круг сотрудников, допускаемых к конфиденциальной информации, к каким конкретно сведениям им разрешен доступ и полномочия сотрудников по доступу к конфиденциальной информации.

Традиционно для организации доступа к конфиденциальной информации использовались организационные меры, основанные на строгом соблюдении сотрудниками процедур допуска к информации, определяемых соответствующими инструкциями, приказами и другими нормативными документами.

Меры по охране конфиденциальности

Для того чтобы защитить конфиденциальную информацию необходимо принять следующие меры по охране конфиденциальности:

определить перечень сведений, содержащих конфиденциальную информацию;

установить порядок (ограничить доступ) обращения с этой информацией и контроля за его соблюдением;

организовать учёт лиц, получающих доступ к этой информации, и лиц, которым информация была предоставлена или передана;

регулировать трудовые отношения с работниками по охране конфиденциальности;

регулировать гражданско-правовые отношения с контрагентами по охране конфиденциальности;

нанести на носителе, содержащем конфиденциальную информацию, гриф с указанием обладателя этой информации (для юридического лица полное наименование и место нахождения, для индивидуальных предпринимателей ФИО и место жительства).

Положение о системе доступа к конфиденциальным документам

Поскольку система доступа к конфиденциальным документам содержит значительное количество правовых положений о нарушении её требований, приводящих, как правило, к разглашению конфиденциальной информации влечёт за собой дисциплинарную, гражданско-правовую, а в некоторых случаях уголовную ответственность виновных лиц, то её следует закрепить в специальном документе, который обычно называют «Положение о системе доступа к конфиденциальным документам».

Положение представляет собой совокупность норм и правил, определяющих кто из руководителей предприятия и структурных подразделений, кому из пользователей и с какими категориями конфиденциальности документов можно давать разрешение на ознакомление, а так же каким образом оформляются такие документы в зависимости от вида учёта.

При разработке системы доступа необходимо руководствоваться следующими положениями:

1. доступ к конфиденциальным документа может предоставляться только лицам, имеющим оформленный в установленном порядке контрактом, приказом допуск и давшем письменное обязательство о неразглашении, ставших ему известными сведений;

2. доступ к конфиденциальным документам должен быть обоснованным, т.е. базироваться на служебной необходимости, а система доступа давать возможность обеспечивать пользователей всеми необходимыми в силу их служебного положения документами;

3. доступ к конфиденциальным документам должен быть санкционированным;

4. доступ к конфиденциальным документам могут предоставлять только уполномоченные должностные лица;

5. доступ должен оформляться письменно по каждому конкретно конфиденциальному документу (при необходимости ознакомить пользователя только с частью документа), в разрешении на ознакомление должны быть указаны разделы, пункты и страницы, с которыми можно знакомить пользователя.

6. составители документа и лица, которые визировали, согласовывали или утверждали, а так же лица, указанные в тексте распорядительных документов допускаются к таким документам, без оформления дополнительных разрешений, если они продолжают выполнять те же обязанности.

Положение о порядке обращения с конфиденциальными документами

В этом положении обладатель информации определяет общий порядок обращения с документами и другими материальными носителями. Положение может включать следующие разделы:

Общие положения;

Полномочия должностных лиц по разрешению доступа к конфиденциальным документам;

Порядок оформления разрешений на доступ к конфиденциальным документам.

В первом разделе (Общие положения) указываются назначение положения, нормативные документы, на которых оно базируется, сфера его распространения; основные задачи и принципы системы доступа; на кого возлагается ответственность за невыполнение требований положения; кем осуществляется контроль. При этом следует помнить, что ответственность за невыполнение требований положения несут все должностные лица, имеющие право давать разрешение на доступ к конфиденциальным документам и все пользователи конфиденциальных документов (также необходимо отразить в положении).

Контроль за выполнение норм положения возлагается на руководителя службы безопасности, подразделения конфиденциального делопроизводства и управленческо-производственных подразделений в пределах их компетенции.

Во втором разделе (Полномочия должностных лиц по разрешению доступа к конфиденциальным документам) должны быть перечислены все должностные лица, которые могут давать разрешение на доступ к конфиденциальным документам с указанием категорий пользователей и состава документа.

Разрешение на доступ могут выдавать:

руководитель предприятия;

заместитель руководителя по отдельным направлениям имеет право давать разрешение на доступ в пределах своей сферы деятельности;

руководители подразделений – всем сотрудникам своих подразделений по тематике работы подразделений.

Для осуществления доступа к конфиденциальным документам данного подразделения сотрудников других подразделений необходимо разрешение соответствующего заместителя руководителя или руководителя предприятия.

Первый заместитель руководителей, а также должностные лица, временно исполняющие обязанности могут разрешать доступ к конфиденциальным данным в объеме всех прав, предусмотренных для замещаемых ими лиц.

В третьем разделе (Порядок оформления разрешений на доступ к конфиденциальным документам) определяется порядок оформления разрешений доступа к конфиденциальным данным, зарегистрированным по различным видам учета.

Отдельным разделом положения предусматривается порядок доступа к конфиденциальным документам лиц, неработающих на данном предприятии. При этом следует иметь ввиду, что сотрудники органов государственной власти, местного самоуправления имеют право на доступ к конфиденциальным документам в пределах своей компетенции, установленной законом. Поэтому предприятие обязано знакомить таких сотрудников с конфиденциальными данными, а сотрудники обязаны обеспечить защиту этих конфиденциальных данных и в случае разглашения несут ответственность. В соответствии с законодательством.

Положение может разрабатываться подразделением конфиденциального делопроизводства или производственной экспертной комиссией. Оно подписывается разработчиком, визируется всеми лицами, имеющими право давать разрешение на доступ и утверждается приказом руководителя. С положением должны быть ознакомлены все сотрудники организации.

Обязанности сотрудников организации при работе с конфиденциальной информацией

Сотрудники организации, прошедшие проверку на право полного доступа к сведениям, составляющим конфиденциальную информацию, допускаются к работе с ними только после принятия на себя следующих обязательств:

нести персональную ответственность за сохранность доверенных им сведений;

не допускать действий, могущих повлечь утрату конфиденциальных документов или разглашение конфиденциальной информации;

хорошо знать и неуклонно соблюдать требования локальных нормативных актов о режиме защиты конфиденциальной информации;

незамедлительно сообщать уполномоченным лицам об утрате конфиденциальных документов, о фактах посягательств на незаконное собирание сведений, составляющих конфиденциальную информацию;

давать письменные объяснения об известных им обстоятельствах при проведении разбирательств по фактам нарушения требований локальных нормативных актов.

Работник организации, не принявший указанных выше обязательств, не несёт правовой ответственности за нарушение порядка обращения со сведениями, содержащими конфиденциальную информацию, и к работе к конфиденциальной информацией не допускается.

Подписание сотрудником обязательства о неразглашении конфиденциальной информации является основанием для его допуска к работе с конфиденциальной информацией.

Обязательство о неразглашении оформляетсяпри устройстве на работу в организацию, а в процессе трудовой деятельности – по мере необходимости, в двух экземплярах, один из которых хранится в информационно-аналитическом отделе, второй – передаётся работнику.

Обязанности руководителей при организации работы с конфиденциальной информацией

Руководитель организации, в которой циркулирует конфиденциальная информация обязан:

знакомить под роспись работников с требованиями локальных нормативных актов организации о режиме защиты конфиденциальной информации;

предоставлять допуск к сведениям, составляющим конфиденциальную информацию, только тем работникам СП, которые дали обязательство о неразглашении конфиденциальной информации и которым этот допуск необходим для выполнения служебных обязанностей.

создать работнику необходимые условия для соблюде­ния им установленного работодателем режима конфиденциальности.

Условия для соблюдения режима конфиденциальности информации:

оснащение рабочих мест запирающимися тумбочками, шкафами, сейфами;

организация выделенных помещений для хранения и работы с документами содержащими конфиденциальную информацию;

установка в зданиях и помещениях систем охранно-пожарной сигнализации;

введение внутриобъектового режима с использованием совре­менных сетевых систем контроля и управления доступом на территорию, в здания, помещения, к средствам автоматизированной обработки ин­формации, файлам и программам с ведением протокола событий;

внедрение, по мере необходимости, технических средств защиты информации.

Руководители самостоятельно определяют, в каких документах, используемых в подразделении, содержится конфиденциальная информация, и проставляют на них собственноручно в правом верхнем углу гриф «конфиденциально».

Допуск к сведениям, составляющим конфиденциальную информацию, может быть прекращён по решению руководителя организации или его заместителя по безопасности в случае ненадлежащего выполнения работником обязанностей, связанных с режимом защиты конфиденциальной информации.

Прекращение трудового договора, независимо от оснований, не освобождает работника от взятых обязательств не разглашать сведения, составляющие конфиденциальную информацию организации.