Защищенный документооборот и конфиденциальное делопроизводство. Документирование конфиденциальной информации.
Документирование конфиденциальный информации (составление конфиденциальных документов) является более сложным процессом по сравнению с аналогичной работой но составлении открытого документа. Усложнение процесса определяется объективной необходимостью создать условия для обеспечения сохранения в тайне сведений, включаемых в документ.
В ходе составления конфиденциальные документы подвергаются максимально возможному спектру угроз, которые реализуются за счет следующих факторов:
– документирования конфиденциальной информации на случайном носителе, не входящем в сферу контроля службы конфиденциальной документации (КД);
– подготовки к изданию документа, не обоснованного деловой необходимостью или не разрешенного для издания, т.е. документирования определенной информации;
– включения в документ избыточных конфиденциальных сведений, что равносильно разглашению тайны фирмы;
– случайного или умышленного занижения грифа конфиденциальности сведений, включенных в документ;
– изготовления документа в условиях, которые не гарантируют сохранность носителя, конфиденциальность информации;
– утери оригинала, черновика, варианта или редакции документа, его части, приложения к документу, умолчания этого факта и попытки подмены утраченных материалов;
– сообщения содержания проекта конфиденциального или открытого документа постороннему лицу, несанкционированного копирования документа или его части (в том числе на неучтенном носителе информации);
– утечки информации по техническим каналам;
– ошибочных действий работника службы конфиденциальной документации (КД), особенно в части нарушения разрешительной системы доступа к документам.
В основе санкционированной работы персонала с конфиденциальными документами, а также правомерности документирования сотрудниками конфиденциальных сведений лежит разрешительная система доступа к секретам фирмы. Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых собственником информации с целью обеспечения регламентированного использования сотрудниками доверенных им ценных сведений, необходимых для выполнения служебных обязанностей.
Важно, что в отличие от открытых документов процесс документирования конфиденциальной информации насыщен специфическими технологическими этапами и процедурами. Выделяются следующие основные этапы:
– получение разрешения на издание конфиденциального документа;
– установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ;
– оформление и учет носителя для документирования выделенного комплекса конфиденциальной информации;
– составление вариантов и черновика текста документа;
– получение разрешения на изготовление документа;
– учет подготовленного черновика конфиденциального документа;
– изготовление проекта конфиденциального документа;
– издание конфиденциального документа.
Указанные этапы характеризуются не только регламентированной технологией, но и жесткими правилами работы исполнителей с конфиденциальной информацией. Сам факт фиксирования ценной информации на носителе предполагает наличие защитных мер в отношении информации и носителя от различных рисков.
Передача конфиденциальной информации по деловой необходимости партнерам, посредникам, работникам государственных учреждений допускается только в случаях, установленных законодательством или соответствующим пунктом в контракте, и только по их письменному запросу с указанием конкретного состава и назначения требуемых сведений. Информация передается им также всегда в письменном виде за подписью первого руководителя фирмы и с информированием об этом руководителя службы безопасности. Передача конфиденциальных сведений в устной форме не разрешается.
Устанавливается четыре степени конфиденциальности информации: "особо конфиденциально", "совершенно конфиденциально", "конфиденциально", а также для служебной информации ограниченного распространения федеральных органов исполнительной власти "для служебного пользования", и соответствующие этим степеням грифы конфиденциальности документов.
Защищенный документооборот – это решение, которое позволяет обеспечить конфиденциальность документов, ограничивая доступ сотрудников к файлам документам и защищая информацию от утечки как внутри организации, так и за ее пределами.
Благодаря «Защищенному документообороту», доступ к конфиденциальным документам имеют пользователи, только непосредственно связанные с документом: автор документа, получатели, согласующие и визирующие лица, исполнители по документу. Остальные пользователи системы не имеют возможности просмотра и редактирования защищенных документов.
При работе с документами ограниченного доступаочень важно организовать соответствующий режим хранения этих документов, доступа к ним и их использования. Помещения, в которых ведутся работы с такими документами и где они хранятся в нерабочее время (в том числе и помещения архива), являются режимными.
Документы ограниченного доступа требуют к себе несколько иного подхода на стадии делопроизводства в отличие от документов несекретного характера, не носящих в себе какую-либо тайну. Работник организации должен работать только с теми сведениями и документами, содержащими какую-либо тайну, к которым он получил доступ в силу трудовых обязанностей, знать, какие конкретно сведения подлежат защите, а также строго соблюдать правила пользования ими. Работник также должен знать, кому из сотрудников организации разрешено работать со сведениями, составляющими тайну, к которым он сам допущен, и в каком объеме эти сведения могут быть доведены до этих сотрудников. Документы ограниченного доступа по номенклатуре определяются в дела. На обороте обложки дела или на отдельном листе, хранящемся в деле, указывается список сотрудников, которым разрешено ознакомление с делом. При пользовании делами, в которых имеются документы ограниченного доступа, необходимо иметь в виду, что дела должны возвращаться в тот же день лицами, которым они были выданы для работы. В случае необходимости производства копий с документов ограниченного доступа обязательно должен вестись журнальный учет производства копий.
В ходе проверки (проводится специальной комиссией) анализируется движение (поступление, отправка, размножение и уничтожение) документов с ограниченным доступом, произошедшее за проверяемый год, а также проводится сверка учетных данных с фактическим наличием документов. При проверке используются журналы учета документов, расписки, реестры, акты на уничтожение документов и другие учетные формы, в том числе и те, в которых зарегистрировано размножение документов. По результатам проверки составляется акт, который утверждается руководителем подразделения и докладывается руководителю организации.
Согласно ТК РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Закон «О персональных данных» расширяет и уточняет понятие. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным.
Использование предприятием в своей деятельности вышеуказанных данных трактуется законодательством как «обработка персональных данных». В это понятие входят следующие действия: сбор, систематизация, накопление, хранение, уточнение, обновление, изменение, обезличивание, блокирование, уничтожение, использование, распространение и передача. Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии.
Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений, не имеет права:
сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ;
сообщать персональные данные работника в коммерческих целях без его письменного согласия;
запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Кроме этого, работодатель должен соблюдать следующие требования:
предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном законодательством РФ;
разрешать доступ к персональным данным работников лишь специально уполномоченным лицам, причем они должны получать только те персональные данные, которые необходимы для выполнения конкретных функций;
передавать персональные данные представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
Следовательно, в организации для работы с персональными данными должны быть следующие документы:
Положение о персональных данных.
Приказ о назначении ответственных за работу с персональными данными.
Приказ о назначении ответственных за обеспечение безопасности персональных данных.
Заявления работников на обработку персональных данных.
Договоры (допсоглашения) с работниками об обработке персональных данных.
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|