Шаг 1. Действия до создания конфиденциального делопроизводства
Перед созданием механизма конфиденциальной информации организации потребуется:
— разобраться с перечнем конфиденциальной информации, защиту которой осуществляет организация как ее владелец;
— определить ограничения доступа к этой информации. Это можно прописать в локальных правовых актах (подробнее о создании ЛПА – в шаге 2);
— произвести учет лиц, имеющих доступ к конфиденциальной информации (составить соответствующие списки руководителей, сотрудников, паролей пользователей информационных систем, организаций-контрагентов и т.п.);
— осуществлять контроль за порядком приема, регистрации, отправки, тиражирования, выдачи и исполнения документов, содержащих информацию, составляющую коммерческую тайну.
Шаг 2. Разработка ЛПА о порядке ведения конфиденциального делопроизводства
Создание и ведение конфиденциального делопроизводства в организации относится к организационным мерам защиты коммерческой тайны. На начальном этапе регламентации порядка создания и ведения конфиденциального делопроизводства необходимо разработать ЛПА (инструкцию, положение) в которых отражается специфика деятельности организации.
Содержание ЛПА:
• система ведения делопроизводства по документам, содержащим информацию, составляющую КТ;
• основные обязанности работников, получивших доступ к работе с информацией, составляющей КТ;
• порядок проставления и снятия грифа «Коммерческая тайна» (для электронных документов гриф может быть выполнен в виде колонтитула);
• порядок приема, регистрации, отправки, тиражирования, выдачи и контроля исполнения документов, содержащих КТ;
• порядок хранения и уничтожения документов, содержащих КТ.
Шаг 3. Утверждение ответственного лица за ведение конфиденциального делопроизводства (опционально)
В зависимости от объема информации, составляющей КТ, в организации может быть создано структурное подразделение, обеспечивающее ведение делопроизводства по документам, содержащим КТ, либо назначено лицо, ответственное за ведение конфиденциального делопроизводства в соответствии с приказом.
Шаг 4. Подписание обязательства о неразглашении коммерческой тайны
Работники, осуществляющие организацию и ведение делопроизводства по документам, содержащим информацию, составляющую КТ, должны письменно оформить отношения с организацией по соблюдению режима КТ, в том числе путем подписания обязательства о ее неразглашении.
При этом нанимателю необходимо обучать работников правилам работы с документами, содержащими информацию, составляющую КТ.
Хранение, изъятие, перемещение и уничтожение конфиденциальной документации
Для хранения конфиденциальных сведений в организации должно быть выделено служебное помещение для работы ответственных работников и оперативного хранения документов, содержащих КТ, а также, при необходимости, для работы исполнителей. При этом должно быть исключено незаконное ознакомление, в том числе в результате случайности или действий третьих лиц, со сведениями, составляющими КТ.
Служебное помещение должно иметь соответствующее технологическое оснащение: должно быть обеспечено необходимым оборудованием и техническими средствами, в том числе средствами защиты информации, сертифицированными в соответствии с требованиями, предъявляемыми к безопасности информации.
Справочно.
В определенных случаях выделять отдельное служебное помещение нецелесообразно. В таких ситуациях для хранения документов, содержащих КТ, достаточно приобрести сейф или другие хранилища, оснащенные надежными замками, исключающие вскрытие и хищение документации. Рекомендуем также рассмотреть возможность опломбирования сейфа, хранилища.
Изъятие информации до ее уничтожения, перемещение информации осуществляется на основании актов с указанием даты проведения мероприятий, точного времени и уполномоченных лиц с составлением описи изъятой информации.
Уничтожение документов, содержащих информацию, составляющую коммерческую тайну, необходимо производить комиссионно. Для этого приказом руководителя организации создается комиссия из числа работников, имеющих отношение к работе с документами с грифом «Коммерческая тайна». В приказе указываются дата и точное время (временной период) утилизации документации. Комиссия оформляет полную опись бумаг, подлежащих уничтожению, с описанием реквизитов.
Отобранные к уничтожению документы должны в обязательном порядке измельчаться до степени, исключающей возможность прочтения текста документа посредством применения специального оборудования или сжигаться. Информация на магнитных носителях уничтожается с помощью специальных программ.
По итогам процедуры составляется акт об уничтожении, подписываемый членами комиссии. После уничтожения в учетных данных производятся отметки с указанием номера акта и даты уничтожения.
При необходимости предварительно может проводиться экспертиза конфиденциальности бумаг для определения их ценности.
