"Человек - самое уязвимое место в системе безопасности.."

Положение о конфиденциальности

1.Общие сведения
2.Нормативные документы
3.Термины
4.Схема отнесения информации к категории конфиденциальной
5.Схема доступа к документам и конфиденциальной информации
6.Права лиц, допущенных к конфиденциальной информации
7.Алгоритм обращения с конфиденциальной информацией
8.Алгоритм транспортировки конфиденциальной информации другим предприятиям
9.Контроль поддержания режима конфиденциальности
10.Проведения служебного расследования по фактам разглашения конфиденциальной информации>

Общие сведения

Главное положение описывает единый подход к конфиденциальности и является главным руководящим звеном, который обязателен для исполнения всех сотрудников:

  • Список данных, которые составляют коммерческую тайну. Список конфиденциальных данных, список персональных данных сотрудников и тд
  • Ограничение свободного доступа к такой информации
  • Документы по поводу использования и передачи конфиденциальной информации
  • Ограничение на копирование конфиденциальной информации на носители
  • При необходимости, использование технических/организационных/программных мер для защиты конфиденциальной информации, которые не нарушают законодательство страны
  • Должна определятся ответственность за несоблюдение режима сохранения конфиденциальности

Нормативные документы

  • Федеральный закон от 20 февраля 1995г. №24-03 «Об информации, информатизации и защите информации»
  • Закон РФ от 29 июля 2004г. №98-Ф3 «О коммерческой тайне»
  • Закон РФ от 10 января 2002г. №1-Ф3 «Об электронной цифровой подписи»
  • Федеральный закон РФ от 30 декабря 2001г. №197-Ф3 «Трудовой кодекс РФ»

Термины

Режим конфиденциальности — организационные, правовые и технические меры, принимаемые предприятием.

Конфиденциальные данные — данные о предметах, лицах, фактах, процессах независимо от формы, составляющие коммерческую тайну, которые охраняемые законодательством страны, и нормативными актами и документами предприятия.

Передача конфиденциальной информации — обладатель в документированном виде доводит до сотрудников конфиденциальную информацию, в установленном порядке законов. Конфиденциальный документ — зафиксированная на материальном носителе конфиденциальная информация с реквизитами, которая разрешает ее идентифицировать.

Гриф конфиденциальности -бывают следующие:

  • Коммерческая тайна — вид грифа конфиденциальности для документов, которые имеют данные и составляют коммерческую тайну предприятия
  • Персональные данные — вид грифа на документы, которые содержат персональные данные сотрудников
  • Для внутреннего пользования — вид грифа конфиденциальности для документов, которые имеют другую защищаемую информацию

Ограничительные отметки: отметки которые ограничивают доступ к данным.

Схема отнесения информации к категории конфиденциальной

Конфиденциальная информация предприятия может состоять из:

  • данных, определяющие коммерческую тайну
  • персональных данных сотрудников предприятия
  • других данных, на которых наложен гриф конфиденциальности

К конфиденциальной информации можно относить:

  • данные о событиях, фактах жизни сотрудника, которые разрешают идентифицировать его личность
  • данные подпадаемые под законодательство страны, находящиеся в руках предприятия
  • техническую, организационную или другую предпринимательскую информацию:
    • которая может обладать потенциальной или действительной коммерческой ценностью
    • к которой нету доступа в паблике
    • по отношению которой, владелец видит в ней ценность

Информация действительно имеет ценность, если она:

  • имеет сведения об увеличения доходов
  • об избежание убытков
  • другую выгоду

К категории конфиденциальной информации НЕЛЬЗЯ отнести следующую информацию:

  • содержащаяся в реестрах государства
  • данные о деятельности предпринимателя, лицензии и другие документы, которые указывают на данный вид деятельности
  • Все что связанно с федеральным бюджетом, и теми вещами, на которые были потрачены эти деньги
  • О состоянии противопожарной безопасности, экологической, и тд.
  • О численности сотрудников, о наличии свободных мест
  • О задолженности по выплате заработной плате и другим выплатам
  • о нарушении законов страны и их последствиях
  • О условиях приватизации объектов государственной собственности, о участниках составление договоров приватизации
  • о списке лиц, которые имеют без доверенности выступать от имени юридического лица

Уровень конфиденциальности данных должен соответствовать тяжести ущерба, которые может быть нанесен предприятию или его сотрудниками. Под ущербом понимают расходы, которые потратит на : восстановление нарушенного права, утраты, повреждение, не полученные доходы.

Схема доступа к документам и конфиденциальной информации

Допуск сотрудников предприятия к конфиденциальным данным реализуется с помощью приказа главного директора по безопасности предприятия. Допуск сотрудников к конфиденциальной информации возможен только после подписания трудового договора.

Права лиц, допущенных к конфиденциальной информации

Сотрудники, которые допущенные к конфиденциальной информации, должны:

  • реализовывать режим конфиденциальности
  • не разглашать конфиденциальную информацию в течении трех лет после окончания трудового договора
  • сразу же сообщать высшему руководству о факте разглашения или об известной угрозе разглашения конфиденциальной информации
  • Если сотрудник виновен в факте разглашения, должен возместить убытки
  • Отдать все материальные носители предприятию с конфиденциальной информацией после прекращения трудового договора

Сотрудниками, допущенных к конфиденциальной информации ЗАПРЕЩАЕТСЯ:

  • вести разговоры относительно конфиденциальной информации по незащищенным каналам связи, использовать не документированные средства защиты
  • использовать конфиденциальную информацию в открытых статьях, выступлениях
  • реализовывать фото или видео съемки в помещениях, где проводятся работы с конфиденциальной информацией

Алгоритм обращения с конфиденциальной информацией

  • Учет конфиденциальных документов
  • Оформление конфиденциальных документов

Режим конфиденциальности при работе в информационной системе определяется Положением о порядке и организации работ по защите конфиденциальной информации. При размещении конфиденциальной информации на переносном носителе, гриф конфиденциальности указывается на бумажной этикетке. Отпечатанные и подписанные документы передаются для регистрации. Черновики уничтожаются. Каждая копия конфиденциального документа имеет такую же значимость как и оригинал. Копия также регистрируется, имеет свой номер в общем списке.

Должна быть реализована сохранность конфиденциальной информации. Она должен быть размещена в специальных помещениях ограниченного доступа.

Алгоритм транспортировки конфиденциальной информации другим предприятиям

Передача контрагентам конфиденциальной информации возможно при подписании ими «Соглашение о конфиденциальности». Если же агенту не хватает какой-то информации, он обращается к ген. директору безопасности предприятия.

Контроль поддержания режима конфиденциальности

Контроль реализации режима конфиденциальности на предприятии создан для изучения и оценки состояния защищенности конфиденциальных данных, выявление недостатков и выявление нарушений режима. Контроль реализации режима поддерживает заместитель ген. директора безопасности предприятия.

Проверка исполнения режима проводит комиссия (отдельные люди) назначаемые ген. директором предприятия. Комиссия имеет право подключать сторонних специалистов по согласованию с директором. Проверяющие имеют право знакомится со всеми документами, проводить консультации. Подразделение, в котором проводилась проверка, реализует план по устранению выявленных недостатков. План согласовывается с зам. ген. директора по безопасности предприятия.

Проведения служебного расследования по фактам разглашения конфиденциальной информации

Для проведения служебного расследования, не позднее, чем следующий день после факта обнаружения факта утечки приказом ген. директора создается комиссия не менее 3 человек. Члены комиссия имеют право:

  • реализовывать осмотр помещения и мест где находились конф. документы
  • опрашивать сотрудников
  • привлекать дополнительных людей, которые не заинтересованны в исходе дела по согласованию ген. директора

Служебное расследование должно проводится максимально в короткие сроки.