Организация защиты информации в системе конфиденциального делопроизводства

И государственные структуры, и частные компании работают с документами, содержащими информацию ограниченного доступа. Информация, будь то служебная с грифом «Для служебного доступа», коммерческая с грифом «Коммерческая тайна», тайны профессионального характера или персональные данные - относится к категории защищаемой информации. Для ее эффективной защиты применяется системный подход, включающий в себя организационные, инженерно-технические меры и специальные мероприятия. 

Меры по защите информации компании – это часть системы ее экономической безопасности, поэтому компании в настоящее время уделяют большое внимание организации как системы защиты информации в целом, так и конфиденциального делопроизводства как части этой системы.

К организационным мероприятиям защиты информации относится комплекс мер правового и управленческого характера, направленных на формирование системы защиты информации в компании, в том числе системы конфиденциального делопроизводства.

К техническим или инженерно-техническим мероприятиям относятся охранные мероприятия, препятствующие доступу нежелательных лиц на территорию компании и к документам, содержащим конфиденциальную информацию, техническая защита каналов приема и передачи информации, создание системы противопожарной охраны и др. 

К мероприятиям специального характера относятся меры по защите программно-аппаратных средств, криптографическая защита информации и др. мероприятия.

Управленческие меры защиты информации   

---

Организационные мероприятия в системе конфиденциального делопроизводства включают в себя следующее:

- создание специального структурного подразделения (назначение специального работника), обеспечивающего работу с документами, содержащими конфиденциальную информацию (конфиденциальными документами, далее – КД);

- подготовка и утверждение комплекса нормативных документов, регламентирующих работу персонала организации с КД, и ознакомление с ними работников организации;

- доведение до всех сотрудников организации, в том числе не имеющих доступа к КД, положений о правовой ответственности за несоблюдение правил работы с КД, установленных в организации;

- закрепление обязательств работников о неразглашении конфиденциальной информации в документах (трудовых договорах, расписках о неразглашении конфиденциальной информации, инструкциях, положениях и др.);

- проведение контрольных мероприятий по проверке соблюдения установленных в организации правил работы с КД.  

Структурно-организационные меры

В организации могут быть реализованы различные схемы структурной организации конфиденциального делопроизводства. Рассмотрим некоторые из них:

1. В организации не создается специального структурного подразделения конфиденциального делопроизводства (далее – служба КД), а ведение работы с КД поручается одному из специалистов службы документационного обеспечения управления (далее – служба ДОУ).

2. В организации создается служба КД, которая структурно входит в состав службы ДОУ.

3. В организации создается служба КД, которая является структурно обособленным подразделением, находящимся в непосредственном подчинении у руководителя организации или у заместителя руководителя, курирующим вопросы информации и документации.

4. В организации создается служба КД, входящая в состав подразделения, обеспечивающего безопасность организации, в том числе информационную, и непосредственно подчиняющаяся руководителю подразделения безопасности.  

Выбор того или иного варианта структурной организации работы с КД зависит от ряда факторов, наиболее значимыми из которых являются следующие:

• объем (количество) и значимость КД в организации;  
• возможности организации вложить значительные финансовые средства в систему защиты информации.  

Кто отвечает за ведение КД

Первый из указанных вариантов является самым простым, но он может применяться только в организациях с относительно небольшим количеством КД. В этом случае сотрудник службы ДОУ, назначаемый для ведения конфиденциального делопроизводства, является лицом, отвечающим за организацию конфиденциального делопроизводства. Именно на этого работника ложится обязанность разработки нормативных документов, регламентирующих порядок работы с КД и ведение собственно конфиденциального делопроизводства. Функции, обязанности и права этого работника закрепляются в должностной инструкции.

Если в организации создается служба КД, то независимо от того, какое место в структуре организации занимает это подразделение, оно выполняет весь комплекс работ, связанных с организацией и ведением конфиденциального делопроизводства. Служба КД действует в соответствии с положением о ней, а сотрудники этого подразделения – на основании должностных инструкций.  

Задачи и функции службы КД

К основным задачам службы КД относятся следующие:

- обеспечение единого порядка создания, обработки, хранения и использования документов ограниченного доступа;

- защита документов от несанкционированного доступа в целях предотвращения утечки конфиденциальной информации.

В функции службы КД входит: 

- разработка нормативных документов, устанавливающих единый порядок создания, обработки, хранения и использования КД;

- осуществление экспедиционной обработки, регистрации и учета поступающих и отправляемых КД;

- организация своевременного рассмотрения КД руководством организации;

- организация защищенного документооборота, обеспечение контролируемого движения КД между пунктами обработки;

- учет действий, совершаемых персоналом при подготовке, обработке, хранении и использовании КД;

- учет носителей информации, используемых для изготовления КД;

- обеспечение машинописного изготовления и оперативного копирования КД;

- ведения контроля исполнения КД;

- ведение учетных, регистрационных, информационно-справочных и контрольных картотек, баз данных, журналов по КД;

- разработка номенклатуры дел по КД;

- ведение информационно-справочной работы по КД;

- контроль за состоянием работы с КД в структурных подразделениях организации;

- формирование дел и учет дел, содержащих КД;

- снятие грифа конфиденциальности с документов и перевод документов в открытое делопроизводство;

- уничтожение КД с истекшими сроками хранения;

- проведение плановых и внеплановых проверок наличия и сохранности КД;

- подготовка аналитических документов о состоянии работы с КД в организации;

- подготовка предложений о совершенствовании работы с КД в организации;

- обучение персонала правилам работы с КД, установленным в организации.  

В соответствии с возложенными на неё функциями служба КД наделяется правами:

- обращаться к руководству по вопросам, входящим в компетенцию подразделения;

- требовать от подразделений и исполнителей точного соблюдения правил работы с КД,

- проводить проверки состояния работы с КД в подразделениях организации.

Служба КД несет ответственность за разглашение конфиденциальной информации, за нарушение установленного в организации порядка работы с КД.

Сотрудники службы КД в своей работе руководствуются должностными инструкциями, которые разрабатываются на каждую должность в соответствии со штатным расписанием организации.

Нормативные документы для функционирования службы 

---

Одной из важнейших функций службы КД является разработка нормативных документов, устанавливающих порядок создания, обработки, хранения и использования КД в деятельности организации. К таким документам относятся следующие документы:

• инструкция (правила, положение) о порядке работы с КД в организации (далее – инструкция о работе с КД);  
• список (перечень) видов информации ограниченного доступа;  
• список (перечень) документов, содержащих информацию конфиденциального характера;
• список работников организации, имеющих право доступа к КД. 

Если в организации к информации ограниченного доступа относятся различные виды информации, например, информация служебного характера, коммерческая тайна, персональные данные и др., то нормативные документы должны учитывать особенности работы с каждым видом информации ограниченного доступа. Это можно сделать по-разному: либо в одном нормативном документе устанавливаются правила работы со всеми видами КД, либо каждый вид информации конфиденциального характера регламентируется отдельным нормативным документом. Это в равной мере относится и к спискам видов информации конфиденциального характера, спискам КД и к спискам сотрудников, имеющим право доступа к КД, поскольку, например, сотрудники, имеющие право доступа к коммерческой тайне, могут не иметь права доступа к документам, содержащим персональные данные. 

Перечни видов защищаемой информации

Следует обратить внимание на соотношение двух списков: списка (перечня) видов информации ограниченного доступа и списка (перечня) документов, содержащих информацию конфиденциального характера. Первый список является основным, исходным. Второй – производным от первого. Многие организации обходятся только списком видов информации ограниченного доступа (конфиденциальной информации). Действительно, главным является определение именно видов защищаемой информации, поскольку конфиденциальная информация может содержаться в различных документах.

Организации, разрабатывающие и использующие только списки (перечни) видов документов, содержащих конфиденциальную информацию, вынуждены ограничивать доступ к документам по видовому принципу, независимо от того, содержится в документе защищаемая информация или нет.

Таким образом, можно сказать, что использование двух списков (перечней): видов конфиденциальной информации и видов документов, в которых может содержаться конфиденциальная информация, - позволяет наиболее оптимальным образом определить состав защищаемой информации. 

Список лиц, имеющих доступ к КД

Законодательство Российской Федерации лишь в отдельных случаях дает четкие указания о составе нормативных документов, регламентирующих порядок работы с документами ограниченного доступа. В частности, Федеральный закон от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне» в ст. 10 «Охрана конфиденциальности информации» содержит четкие указания о разработке перечня информации, составляющей коммерческую тайну, установлении порядка обращения с этой информацией и контроля за соблюдением такого порядка, а также о ведении учета лиц, получивших доступ к информации, составляющей коммерческую тайну.

Трудовой кодекс Российской Федерации (ФЗ № 197-ФЗ) в главе 14 установил порядок защиты персональных данных в рамках трудовых отношений, где, в частности, говорится о том, что работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об из правах и обязанностях в этой области. Таким документом, устанавливающим порядок обработки персональных данных работников, может быть инструкция (положение, правила) о защите персональных данных работников.  

Инструкция о работе с КД

Нормативные документы организации, устанавливающие порядок работы с КД, включая инструкцию о работе с КД, разрабатываются каждой организацией самостоятельно. Для инструкции о работе с КД можно предложить следующую структуру:

1. Общие положения;

2. Порядок присвоения и снятия грифа ограничения доступа к документам;

3. Допуск работников организации к КД;

4. Обязанности и ограничения, налагаемые на работников, имеющих доступ к КД;

5. Ведение конфиденциального делопроизводства;

6. Организация и проведение контроля за состоянием работы с КД;

7. Ответственность за разглашение конфиденциальной информации, утрату КД и нарушения установленного порядка работы с КД.  

Выводы

Перечисленные нормативные документы, устанавливающие порядок обращения с конфиденциальной информации в организации (инструкции, правила, положения, списки, перечни и др. утверждаются руководителем организации и доводятся до сведения работников под роспись. Кроме того, Федеральный закон «О коммерческой тайне» (ст. 10) устанавливает, что регулирование отношений по использованию информации, составляющей коммерческую тайну работниками, осуществляется на основании трудовых договоров, а контрагентами - на основании гражданско-правовых договоров. Этот порядок – включение обязательства о неразглашении конфиденциальной информации в трудовой договор – может быть распространено и на другие виды конфиденциальной информации, обращающейся в организации.

заместитель директора ВНИИДАД