polozhenie-ob-organizatsii-zashchity-svedeniy-konfidentsialnogo-kharaktera
Форма подготовлена с использованием правовых актов по состоянию на 08.09.2010.
Примерный образец
Утверждаю конфиденциально
Генеральный директор _______________
ООО "___________________"
"__" ____________ 200_ г.
Положение
об организации защиты сведений конфиденциального характера,
составляющих коммерческую, банковскую и служебную тайну
компании ООО "_________" (далее - Компания)
1. Общие положения
1.1. Настоящий документ, разработанный в соответствии с требованиями Конституции РФ, Федерального закона "О коммерческой тайне", других нормативных актов, устанавливает порядок определения сведений, составляющих коммерческую тайну (далее также - конфиденциальная информация и защищаемая информация) и основные требования, относящиеся к ее защите.
1.2. Устанавливаемый настоящим Положением порядок распространяется на все виды деятельности, связанной с приборами, средствами электронно-вычислительной техники, оперативной полиграфии, изделиями, документами и изданиями, имеющимися в Компании, независимо от их местонахождения и места создания.
1.3. Защите в качестве конфиденциальных сведений в Компании подлежат сведения, неправомерное ознакомление с которыми третьих лиц может причинить ущерб его коммерческим и/или иным интересам.
1.4. Источником сведений, составляющих банковскую, коммерческую и служебную тайну Компании, являются: информация, полученная в результате участия Компании в ее создании, от контрагентов по договору, а также приобретенная другими способами, не противоречащими законодательству.
1.5. Сведения, подлежащие защите в качестве конфиденциальных, классифицируются по степени их конфиденциальности на "конфиденциальные", "строго конфиденциальные" и "строго конфиденциальные особой важности".
1.6. Степень конфиденциальности сведений, составляющих коммерческую, банковскую и служебную тайну, устанавливается с учетом тяжести возможных последствий в случае их неправомерного использования третьими лицами.
1.7. Документам, содержащим сведения, составляющие коммерческую тайну, в зависимости от степени их конфиденциальности, присваиваются грифы: "конфиденциально", "строго конфиденциально", "строго конфиденциально особой важности".
2. Определение сведений, подлежащих защите в качестве
коммерческой, банковской и служебной тайны Компании
2.1. Выявление и оценка степени конфиденциальности сведений, составляющих коммерческую, банковскую, служебную тайну, осуществляются постоянно действующей комиссией Компании по защите коммерческой, банковской и служебной тайны (далее - комиссия).
2.2. Комиссия формируется из руководителей и сотрудников ведущих структурных подразделений Компании.
2.3. В целях исполнения возложенных на нее обязанностей комиссия может создавать рабочие группы из числа сотрудников Компании, привлекать для консультаций отдельных специалистов Компании и частных лиц, осуществлять в указанных целях взаимодействие с представителями правоохранительных органов и специальных служб и иных структур государственной и негосударственной форм собственности.
2.4. Для выявления конфиденциальных сведений, подлежащих защите, и определения степени их конфиденциальности комиссия проводит опрос ведущих специалистов Компании, представителей контрагентов и частных лиц, осуществляет в указанных целях взаимодействие с представителями правоохранительных органов и специальных служб и иных структур государственной и негосударственной форм собственности.
2.5. Поступающие предложения подвергаются экспертной оценке комиссии с целью обоснования целесообразности закрытия свободного доступа к этим сведениям третьих лиц.
2.6. Решение комиссии об отнесении сведений к категории защищаемой информации оформляется в виде проекта перечня основных категорий сведений, составляющих коммерческую, банковскую и служебную тайну Компании.
2.7. Перечень основных категорий сведений, составляющих коммерческую, банковскую и служебную тайну Компании, вступает в силу после утверждения его руководителем Компании.
Проект перечня вместе с документами, содержащими обоснование целесообразности закрытия свободного доступа к тем или иным сведениям, хранится в материалах комиссии. Руководитель Компании по представлению комиссии вправе принять решение об отнесении данного перечня к числу конфиденциальных документов с присвоением соответствующего грифа конфиденциальности.
Содержание перечня пересматривается комиссией по мере необходимости обновления включенных в него сведений, но не реже одного раза в год.
2.8. Основанием для отмены ограничений на свободный доступ к сведениям, отнесенным ранее к категории защищаемой информации, является утрата ими коммерческой и/или иной ценности.
2.9. В результате пересмотра перечня комиссия может внести руководителю Компании предложение об отмене ограничений на свободное ознакомление с отдельными сведениями или отдельными категориями сведений и исключении их из перечня. Также комиссия может внести руководителю Компании предложение о снижении степени конфиденциальности и уменьшении ограничений на свободное ознакомление с отдельными сведениями или отдельными категориями сведений.
2.10. Ограничение на свободное ознакомление с отдельными сведениями или отдельными категориями сведений, указанными в перечне, снимается в день утверждения руководителем Компании соответствующего предложения комиссии. Предложение комиссии о снижении степени конфиденциальности и уменьшении ограничений на свободное ознакомление с отдельными сведениями или отдельными категориями сведений вступает в силу в день утверждения руководителем Компании соответствующего предложения комиссии.
3. Закрытие свободного доступа к сведениям,
составляющим коммерческую тайну Компании
3.1. Свободный доступ к сведениям, составляющим банковскую, коммерческую и служебную тайну Компании, закрывается с целью защиты конфиденциальной информации и физической защиты ее носителей.
3.2. Обеспечение исполнителей конфиденциальной информацией, необходимой для выполнения порученных работ, осуществляется с письменного разрешения руководителя Компании в соответствии с установленными в Компании правилами доступа к сведениям, составляющим коммерческую тайну.
3.3. Сотрудник Компании (исполнитель) обеспечивается сведениями, составляющими банковскую, коммерческую и служебную тайну, в объеме, необходимом для качественного и своевременного выполнения порученных ему работ. Ознакомление исполнителя с конфиденциальной информацией, не имеющей отношения к выполняемой им работе, запрещается.
3.4. Для получения разрешения на выполнение работ, связанных с банковской, коммерческой и служебной тайной, сотрудники Компании обязаны пройти соответствующую проверку и принять на себя обязательства о соблюдении установленных в Компании правил обращения с указанными сведениями и их носителями.
3.5. Руководитель Компании вправе разрешить по своему усмотрению пользование сведениями, составляющими банковскую, коммерческую и служебную тайну, любому работнику подразделения Компании или лицу, прибывшему из другой организации, если в отношении этих сведений не установлены ограничения со стороны контрагентов (партнеров по совместной деятельности).
3.6. При большом объеме закрытых работ руководитель Компании может передать обязанность распределения защищаемых сведений руководителям структурных нижестоящих подразделений.
Руководители структурных нижестоящих подразделений в указанных случаях распределяют сведения, составляющие банковскую, коммерческую и служебную тайну, между исполнителями только в пределах работ, выполняемых подразделением.
3.7. Конфиденциальные договоры с другими организациями, отчеты о результатах работы по перспективным направлениям и другие наиболее ценные сведения, как правило, находятся в личном распоряжении руководителя Компании. Перечень указанных документов хранится в подразделении защиты интересов Компании. Вся соответствующая перечню категорированная информация, подготовленная в Компании или поступившая извне, докладывается руководителю Компании.
4. Организация правомерного доступа сотрудников
к сведениям, составляющим коммерческую тайну
4.1. Лица, принимаемые на работу, связанную со сведениями, составляющими банковскую, коммерческую или служебную тайну, проходят проверку с целью выявления возможных обстоятельств, препятствующих их доступу к защищаемым сведениям (проверку на право доступа к защищаемым сведениям).
4.2. Проверка осуществляется подразделением защиты интересов Компании (либо иной частной коммерческой или государственной службой по договору) путем сбора биографических и других характеризующих личность данных.
4.3. Основаниями для проведения проверки являются письменное согласие проверяемого и поручение руководителя структурного подразделения Компании, наделенного правом распределения защищаемой информации.
4.4. Основаниями для отказа лицу в допуске к защищаемым сведениям Компании являются:
4.4.1. Наличие судебного решения о признании лица недееспособным или ограниченно дееспособным, нахождение его под судом и следствием за тяжкие и особо тяжкие преступления, наличие у лица неснятой судимости за эти преступления.
Наличие медицинских противопоказаний для работы с использованием сведений, составляющих коммерческую тайну, выявление в результате проверочных мероприятий действий оформляемого лица и/или обстоятельств, создающих угрозу незаконного получения и разглашения сведений, составляющих банковскую, коммерческую и служебную тайну.
Уклонение проверяемого от проверочных мероприятий и/или сообщение заведомо ложных анкетных данных.
4.5. Заключение о результатах проверки с выводами о пригодности либо непригодности кандидата для работы с защищаемыми сведениями докладывается руководителю Компании.
4.6. Окончательное решение о допуске лица к работе с защищаемой информацией принимает руководитель Компании.
4.7. Разрешение на доступ лица, прошедшего проверку к работе с защищаемой информацией, оформляется приказом по Компании с указанием фамилии, имени, отчества, должности лица и степени конфиденциальности документов, к которым он допускается.
4.8. Наличие обстоятельств, препятствующих допуску к защищаемым сведениям, является основанием для отказа в приеме лица на работу, связанную со сведениями, составляющими банковскую, коммерческую и служебную тайну Компании, или прекращения ранее заключенного трудового договора (контракта) между Компанией и указанным лицом.
4.9. Допуск к сведениям, составляющим банковскую, коммерческую и служебную тайну, может быть прекращен по решению руководителя Компании в случае нарушения предусмотренных трудовым договором (контрактом) обязательств гражданина, связанных с сохранением защищаемой информации, а также при возникновении обстоятельств, являющихся основанием для отказа лицу в допуске к коммерческой тайне.
4.10. Прекращение допуска гражданина к защищаемой информации является основанием для расторжения трудового договора (контракта) с ним, если такое условие предусмотрено в этом договоре (контракте).
4.11. Решение руководителя Компании о прекращении допуска гражданина к коммерческой тайне и расторжении на основании этого трудового договора (контракта) с ним может быть обжаловано в суд.
4.12. Материалы проверки хранятся в личном деле сотрудника. Выписка из приказа о допуске сотрудника к работе с конфиденциальной информацией направляется в подразделение защиты интересов Компании.
4.13. В случае необходимости дополнительного ограничения доступа к документам, имеющим особо важное значение для Компании, разрешение на допуск может оформляться в виде отдельного списка лиц, имеющих право работать с защищаемой информацией, либо в виде резолюции руководителя Компании на самом защищаемом документе.
4.14. В отдельном списке могут быть определены конкретные должностные лица Компании, которые допускаются руководителем ко всем без исключения документам и изделиям без дополнительных письменных разрешений. В них указываются фамилия, имя и отчество исполнителя работ, наименование подразделения, в котором он работает, занимаемая должность, категория документов и изделий, к которым он допущен.
4.15. Отдельный список готовится руководителем структурного подразделения, согласовывается с подразделением защиты интересов Компании и утверждается руководителем Компании.
4.16. Право на доступ может быть оформлено в виде персональной карточки - разрешения на доступ к защищаемой информации.
4.17. Представители контрагентов и государственных структур могут быть допущены к защищаемым сведениям только с письменного разрешения руководителя Компании или его заместителей с указанием содержания и объема защищаемой информации, подлежащей ознакомлению.
5. Порядок работы со сведениями, составляющими
банковскую, коммерческую и служебную тайну
5.1. Документы, содержащие сведения, составляющие банковскую, коммерческую и служебную тайну Компании, классифицируются исполнителем на стадии их разработки (подготовки). При этом им присваиваются регистрационный номер и гриф конфиденциальности.
Степень конфиденциальности документа определяется на основании классификации, установленной в перечне основных категорий сведений, подлежащих защите в качестве банковской, коммерческой и служебной тайны.
5.2. Классифицированные документы, выполненные и поступившие извне, принимаются и регистрируются подразделением защиты информации (защиты интересов Компании).
5.3. Все факты выдачи защищаемых документов учитываются подразделением защиты информации (защиты интересов Компании) с указанием основания доступа (разрешения), фамилии, имени, отчества и должности лица, получившего доступ к документу, и даты события.
5.4. Безучетная и несанкционированная выдача защищаемых документов запрещается.
5.5. Запрещаются внесение изменений в учет выдачи защищаемых документов, а также замена учетных документов.
6. Участие сотрудников в защите сведений, составляющих
банковскую, коммерческую и служебную тайну Компании
6.1. Лица, прошедшие проверку на право доступа к сведениям, составляющим банковскую, коммерческую и служебную тайну Компании, допускаются к работе с конфиденциальной информацией только после принятия на себя следующих обязательств:
6.1.1. Нести персональную ответственность за сохранность доверенных им сведений, составляющих банковскую, коммерческую и служебную тайну.
6.1.2. Не допускать действий, могущих повлечь утрату конфиденциальных документов или разглашение защищаемых сведений.
6.1.3. Хорошо знать и неуклонно соблюдать требования инструкции по организации конфиденциального делопроизводства, направленные на обеспечение надежной защиты сведений, составляющих банковскую, коммерческую и служебную тайну, от утечки и неправомерного завладения.
6.1.4. Незамедлительно сообщать уполномоченным лицам об утрате конфиденциальных документов, о фактах посягательств на незаконное собирание защищаемой информации Компании.
6.1.5. Давать письменные объяснения об известных им обстоятельствах при проведении разбирательств по фактам нарушения инструкции по организации конфиденциального делопроизводства, а также по фактам утраты и хищения документов, содержащих защищаемую информацию.
6.1.6. Исключить возможность попадания сведений, составляющих коммерческую тайну, без серьезной на то причины в любые носители государственной тайны, имеющие в связи с этим соответствующий гриф секретности. Такое нарушение порядка обращения со сведениями, составляющими коммерческую тайну Компании, рассматривается как их разглашение и влечет за собой ответственность, в соответствии с настоящим Положением, другими локальными актами Компании и законодательством РФ.
6.2. Добросовестное исполнение указанных выше обязательств поощряется Компанией в виде надбавки к оплате труда сотрудников и других льгот.
6.3. Обязательства лица, связанные с защитой сведений, составляющих банковскую, коммерческую и служебную тайну Компании, и обязательства Компании, определяющие виды, размеры и порядок предоставления льгот в качестве компенсации за участие лица в защите конфиденциальной информации, фиксируются в трудовом договоре (контракте).
6.4. Сотрудник Компании, не принявший указанных выше обязательств, к работе со сведениями, составляющими банковскую, коммерческую и служебную тайну Компании, не допускается и правовой ответственности за нарушение порядка обращения с конфиденциальной информацией не несет.
6.5. Прекращение трудового договора, независимо от оснований, не освобождает сотрудника от взятых обязательств не разглашать сведения, составляющие банковскую, коммерческую и служебную тайну Компании.
7. Подразделение защиты информации
7.1. Подразделение (отдел, отделение, группа) защиты информации, составляющей банковскую, коммерческую и служебную тайну Компании, входит в структуру управления защиты интересов Компании (службы безопасности Компании) и является ведущим (ответственным) подразделением в сфере разработки и создания системы защиты информации, организации контроля за соблюдением установленного режима конфиденциальности и состоянием средств защиты коммерческой тайны.
7.2. В рамках установленных полномочий подразделение:
7.2.1. Подготавливает организационно-управленческие и нормативные документы, участвует в осуществлении мероприятий по защите банковской, коммерческой и служебной защищаемой информации Компании.
7.2.2. Разрабатывает должностные инструкции, определяющие права и обязанности лиц, уполномоченных осуществлять защиту информации.
7.2.3. Разрабатывает и доводит до пользователей сведений, составляющих банковскую, коммерческую и служебную тайну Компании, инструкцию по организации конфиденциального делопроизводства, устанавливающую порядок обращения с конфиденциальной информацией, конфиденциальными документами и другими носителями конфиденциальной информации.
7.2.4. Организует работу делопроизводства Компании, обеспечивающую сохранность информации, составляющей банковскую, коммерческую и служебную тайну и ее носителей.
7.2.5. Ведет учет, хранение и выдачу носителей конфиденциальной информации в соответствии с полномочиями пользователей на право доступа, а также контроль за использованием носителей конфиденциальной информации.
7.2.6. Участвует совместно с разработчиками в создании и внедрении технических средств защиты информации, циркулирующей в помещениях и технических средствах Компании.
7.2.7. Готовит и доводит до пользователей инструкцию по защите конфиденциальной информации в процессе эксплуатации технических средств хранения, обработки и передачи информации, составляющей коммерческую тайну. Организует и контролирует ее исполнение.
7.2.8. Ведет служебную документацию системы защиты информации (списки лиц, имеющих право доступа к конфиденциальной информации, учет паролей и ключей для доступа к указанной информации, обрабатываемой средствами вычислительной техники).
7.2.9. Осуществляет контроль за ходом технологического процесса обработки конфиденциальной информации путем регистрации действий пользователей по системному журналу.
7.2.10. Осуществляет оперативный контроль за функционированием системы защиты информации с целью проверки ее надежности.
7.2.11. Организует работу по вскрытию возможных каналов утечки конфиденциальной информации Компании, выявлению, предупреждению и пресечению посягательств на незаконное завладение указанной информацией. Непосредственно участвует в проведении данных мероприятий.
7.2.12. Участвует в разбирательствах и в расследованиях по фактам незаконного собирания, похищения, разглашения и утраты сведений, составляющих банковскую, коммерческую и служебную тайну Компании, и незаконных посягательств в сфере компьютерной информации Компании.
7.2.13. Вырабатывает предложения по совершенствованию системы защиты конфиденциальной информации Компании на основании анализа и оценки ее эффективности.
7.2.14. Участвует в координации совместных действий подразделений Компании, ее контрагентов и правоохранительных органов в выявлении и пресечении незаконных посягательств на защищаемую информацию.
7.2.15. Участвует в организации охраны и физической защиты помещений, технических средств и носителей конфиденциальной информации Компании от противоправных посягательств.