Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Нормативная база для работы с конфиденциальными документами». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.
Существуют ли четкие правила хранения персональных данных?
Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):
- разрабатывает регламент хранения персональных данных;
- определяет, где они будут находиться;
- подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
- назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
- выбирает те или иные виды наказаний за нарушения правил;
- подписывает внутренние распоряжения.
Какой должна быть система хранения персональных данных
Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:
- 3 года предприятие имеет право и обязано хранить заявления о трудоустройстве либо увольнении, письма с рекомендациями, автобиографии, указы о переводе на другую должность, анкеты;
- на протяжении пяти лет сохраняются докладные, служебные записки, командировочные листы, разнообразные справки (которые не включаются в личное дело), а также приказы и выписки;
- финансовая информация (связанная с выдачей зарплаты, премиальных, пособий и т.д.) находится в архиве 75 лет.
Подготовительные мероприятия: что нужно сделать для настройки системы защиты
- Определить, какая информация подлежит или нуждается в защите.
- Оптимизировать защищаемые информационные потоки.
- Определить формы представляемой информации.
- Установить виды угроз защищаемой информации и варианты их реализации.
- Установить, кому может быть интересна защищаемая информация.
- Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?
- Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.
- Определить сроки актуальности защищаемой информации.
«Об утверждении Положения о порядке обращения с конфиденциальной информацией и мерах по обеспечению ее защиты и сохранности в Правительстве Хабаровского края»
В целях приведения нормативных правовых актов Хабаровского края в сфере обращения и защиты конфиденциальной информации в соответствие с требованиями действующего законодательства Российской Федерации постановляю:
1. Утвердить прилагаемое Положение о порядке обращения с конфиденциальной информацией и мерах по обеспечению ее защиты и сохранности в Правительстве Хабаровского края.
2. Министерствам края, имеющим статус юридического лица, иным органам исполнительной власти края в течение месяца со дня подписания настоящего постановления разработать и утвердить свои положения о порядке обращения с конфиденциальной информацией и мерах по обеспечению ее защиты и сохранности, не противоречащие основным требованиям настоящего постановления.
3. Министерствам края, иным органам исполнительной власти края, структурным подразделениям аппарата Губернатора и Правительства края определить и утвердить перечень обрабатываемой конфиденциальной информации и списочный состав должностных лиц, уполномоченных на работу с конфиденциальной информацией, закрепив данные обязанности в должностных регламентах.
4. Признать утратившими силу:
- постановление главы администрации Хабаровского края от 30 мая 2000 г. №175 «О Перечне сведений конфиденциального характера администрации Хабаровского края и порядке обращения с ними»;
- постановление Губернатора Хабаровского края от 14 мая 2003 г. №153 «Об утверждении Перечня сведений конфиденциального характера Правительства Хабаровского края».
Как утвердить реестр КИ
Оформление подобных внутренних актов в виде инструкции, регламента, положения и т.д. зависит того, как происходит документооборот в данной конкретной конторе. Но приблизительный порядок подготовки, оформления и ввода в действие перечня сведений конфиденциального характера везде схожий:
- определить, что именно требует защиты от посторонних глаз — какие данные, образцы, документы, на какой срок и т.д.;
- разработать порядок доступа, защиты и контроля;
- определить список тех, кому (и в каком порядке) разрешён доступ к КИ;
- прописать инструкции и требования к тем, кто по работе получает допуск к КИ;
- на документации, входящей в реестр, проставить гриф «Конфиденциально» или «Коммерческая тайна» (КТ).
Существуют ли четкие правила хранения персональных данных?
Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):
Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).
Какой должна быть система хранения персональных данных
Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:
Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.
Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.
Нормативное регулирование
В состав законодательства по обеспечению информационной безопасности включаются федеральные законы, подзаконные нормативные правовые акты федеральных органов исполнительной власти, законы и подзаконные нормативные правовые акты субъектов Российской Федерации.
К числу наиболее значимых нормативных правовые актов в области обеспечения информационной безопасности относятся следующие законы и подзаконные акты.
Конституция Российской Федерации содержит нормы, которые определяют правовые основы информационной безопасности: основные положения правового статуса субъектов информационных отношений, принципы информационной безопасности (законности, уважения прав, баланс интересов личности, общества и государства), конституционный статус государственных органов, обеспечивающих информационную безопасность и др.
Например, к таким положениям относятся нормы, которые устанавливают право каждого субъекта свободно искать, получать, передавать, производить и распространять информацию любым законным способом (п.4.ст. 29).
Это конституционное право, устанавливающее возможность удовлетворения интересов личности и общества сбалансировано необходимостью их ограничения федеральным законом в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (п.3.ст.55).
Конституция Российской Федерации устанавливает запрет на доступ к информации о частной жизни и передачу сообщений по линиям телефонной связи (ст.23).
Федеральный закон от 28 декабря 2010 г. N 390-ФЗ «О безопасности» (87)закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.
Закон определяет ключевые термины в области безопасности, которые применимы и для сферы информационной безопасности, принципы и систему безопасности, правовой статус и состав Совета Безопасности Российской Федерации.
Федеральный закон от 27.07.2006, г., № 149-ФЗ «Об информации, информационных технологиях и о защите информации»(88)фиксирует базовые нормы для всей системы информационного законодательства, в т.ч. правового обеспечения информационной безопасности. Они определяют основные термины и их определения, принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации (ст.3), классификацию информации по категориям доступа — общедоступную и ограниченного доступа (ст. 5), порядку ее предоставления или распространения (свободно распространяемую, обязательного предоставления или распространения, ограниченного распространения или запрещаемую для распространения вообще). Закон определяет базовые положения правового режима доступа к информации (ст.8) и его ограничения (ст.9), основные параметры правовых режимов распространения (ст.10) и документирования (ст.11) информации, информационных систем (ст.13), информационно-телекоммуникационных сетей (ст.15) и общие условия защиты информации (ст.16), информационных систем (ст.13) и использования информационных технологий, а также в общих чертах описывает ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.
Федеральный закон от 21 июня 1993 № 5485-1 «О государственной тайне», Федеральные законы от 29 июля 2004 № 98-ФЗ «О коммерческой тайне» и от 27.07.2006 г. № 152-ФЗ «О персональных данных» (89, 90, 91) устанавливают правовые режимы информации ограниченного доступа, в том числе, сведений, составляющих государственную и коммерческую тайну.
Нормы названных законов на более конкретном уровне, чем норма ст.9 закона «Об информации» регулируют формирование условий правового режима доступа к сведениям конфиденциального характера, конкретизируют правовой статус субъектов отношений, возникающих по поводу тайн и персональных данных. Именно в названных законах содержатся основные запреты, ограничения и дозволения, которые составляют правовые основания для формулировок составов информационных правонарушений, направленных на интересы личности, общества и государства в области конфиденциальности информации.
Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (92).Нормы названного закона определяют правовой режим технологического обеспечения защиты информации в системе базовых законов информационного законодательства. В ст. 1 этого закона определена его цель — обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. В законе сформулированы функции электронной цифровой подписи: удостоверяющая, защитная и устанавливающая.
Уголовный кодекс РФ в главе 28 Кодекса предусматривает ответственность за совершение преступлений в сфере компьютерной информации (ст.272-275). Всего в тексте Кодекса содержится более 50 отдельных статей, устанавливающих уголовную ответственность за нарушение установленных запретов в информационной сфере.
Трудовой кодекс РФ устанавливаетправовой режим персональных данных работника, определяет общие требования по их обработке и защите, устанавливает сроки хранения таких данных и процедуру их использования. В случаях нарушения норм, регулирующих получение, обработку и защиту персональных данных работника, виновные лица привлекаются к дисциплинарной, материальной, административной, гражданско-правовой и уголовной ответственности. Трудовой кодекс РФ определяет норму об ответственности за разглашение отдельных видов тайн и персональных данных.
КоАП РФ в главе 13 определяет административную ответственность за правонарушения в области связи и информации посвящена отдельная глава (ст. 13.1-13.24). В него включены еще более 90 статей, в которых определяется ответственность за совершение проступков информационного характера. Так, например, устанавливается ответственность за отказ в предоставлении гражданину информации (ст. 5.39), за сокрытие или искажение экологической информации (ст. 8.5), за незаконные действия по получению и (или) распространению информации, составляющей кредитную историю (ст. 5.53).
Имеется также массив нормативных правовых актов подзаконного характера, состоящий из большого количества документов, регулирующих отдельные направления правового обеспечения информационной безопасности.
Указ Президента РФ от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»(93). В данном Указе устанавливается запрет подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну к информационно-телекоммуникационным сетям международного информационного обмена. В целях защиты информации государственные органы обязаны использовать только средства защиты информации, прошедшие сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данных требований Указа в полной мере должно обеспечить защиту информации, составляющей государственную тайну.
Приказом ФСО России от 07.08.2009 N 487утвержденоПоложение о сегменте информационно-телекоммуникационной сети Интернет(94) для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации.
Эксплуатацию, поддержание и развитие сегмента информационно-телекоммуникационной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации обеспечивает Служба специальной связи и информации ФСО России.
Нормативные документы
- Федеральный закон от 20 февраля 1995г. №24-03 «Об информации, информатизации и защите информации»
- Закон РФ от 29 июля 2004г. №98-Ф3 «О коммерческой тайне»
- Закон РФ от 10 января 2002г. №1-Ф3 «Об электронной цифровой подписи»
- Федеральный закон РФ от 30 декабря 2001г. №197-Ф3 «Трудовой кодекс РФ»
Режим конфиденциальности — организационные, правовые и технические меры, принимаемые предприятием.
Конфиденциальные данные — данные о предметах, лицах, фактах, процессах независимо от формы, составляющие коммерческую тайну, которые охраняемые законодательством страны, и нормативными актами и документами предприятия.
Передача конфиденциальной информации — обладатель в документированном виде доводит до сотрудников конфиденциальную информацию, в установленном порядке законов. Конфиденциальный документ — зафиксированная на материальном носителе конфиденциальная информация с реквизитами, которая разрешает ее идентифицировать.
Гриф конфиденциальности -бывают следующие:
- Коммерческая тайна — вид грифа конфиденциальности для документов, которые имеют данные и составляют коммерческую тайну предприятия
- Персональные данные — вид грифа на документы, которые содержат персональные данные сотрудников
- Для внутреннего пользования — вид грифа конфиденциальности для документов, которые имеют другую защищаемую информацию
Ограничительные отметки: отметки которые ограничивают доступ к данным.
Закон РФ 98-ФЗ: полная информация о коммерческой тайне
Федеральный закон о коммерческой тайне 98-ФЗ в последней редакции 2016 года регулирует отношения, которые связаны с прекращением, установлением или изменением режима соблюдения коммерческой тайны.
Федеральный закон о коммерческой тайне 98-ФЗ в последней редакции 2016 года регулирует отношения, которые связаны с прекращением, установлением или изменением режима соблюдения коммерческой тайны. Под действие Закона о коммерческой тайне 98-ФЗ попадает информация, имеющая потенциальную или действительную коммерческую ценность для третьих лиц, не обладающих доступом к данным подобного рода. Нормы закона 98-ФЗ распространяются на любую информацию с коммерческой ценностью, независимо от того на каком носителе она находится. Оборот информации, отнесенной к государственной тайне, регулируется Законом РФ о государственной тайне.
Схема отнесения информации к категории конфиденциальной
Конфиденциальная информация предприятия может состоять из:
- данных, определяющие коммерческую тайну
- персональных данных сотрудников предприятия
- других данных, на которых наложен гриф конфиденциальности
К конфиденциальной информации можно относить:
- данные о событиях, фактах жизни сотрудника, которые разрешают идентифицировать его личность
- данные подпадаемые под законодательство страны, находящиеся в руках предприятия
- техническую, организационную или другую предпринимательскую информацию:
- которая может обладать потенциальной или действительной коммерческой ценностью
- к которой нету доступа в паблике
- по отношению которой, владелец видит в ней ценность
Информация действительно имеет ценность, если она:
- имеет сведения об увеличения доходов
- об избежание убытков
- другую выгоду
К категории конфиденциальной информации НЕЛЬЗЯ отнести следующую информацию:
- содержащаяся в реестрах государства
- данные о деятельности предпринимателя, лицензии и другие документы, которые указывают на данный вид деятельности
- Все что связанно с федеральным бюджетом, и теми вещами, на которые были потрачены эти деньги
- О состоянии противопожарной безопасности, экологической, и тд.
- О численности сотрудников, о наличии свободных мест
- О задолженности по выплате заработной плате и другим выплатам
- о нарушении законов страны и их последствиях
- О условиях приватизации объектов государственной собственности, о участниках составление договоров приватизации
- о списке лиц, которые имеют без доверенности выступать от имени юридического лица
Уровень конфиденциальности данных должен соответствовать тяжести ущерба, которые может быть нанесен предприятию или его сотрудниками. Под ущербом понимают расходы, которые потратит на : восстановление нарушенного права, утраты, повреждение, не полученные доходы.
Контроль поддержания режима конфиденциальности
Контроль реализации режима конфиденциальности на предприятии создан для изучения и оценки состояния защищенности конфиденциальных данных, выявление недостатков и выявление нарушений режима. Контроль реализации режима поддерживает заместитель ген. директора безопасности предприятия.
Проверка исполнения режима проводит комиссия (отдельные люди) назначаемые ген. директором предприятия. Комиссия имеет право подключать сторонних специалистов по согласованию с директором. Проверяющие имеют право знакомится со всеми документами, проводить консультации. Подразделение, в котором проводилась проверка, реализует план по устранению выявленных недостатков. План согласовывается с зам. ген. директора по безопасности предприятия.
Для чего составляется перечень засекреченных сведений
Вопрос о конфиденциальности служебных данных иногда бывает спорным. Нередко из-за неопределенности принятых правил возникают производственные конфликты и судебные разбирательства.
Прежде чем уволить работника, подозреваемого в разглашении коммерческой тайны, работодатель должен обосновать причину подобных действий. Увольняемый человек зачастую не согласен с тем, что совершил нечто противозаконное. Он может обратиться в Инспекцию труда с жалобой на несправедливые обвинения.
Пример 1.
Работнику понадобилось распечатать служебный документ, для чего он перенес содержимое на флэш-накопитель. В договоре, подписанном им при поступлении на работу, указывалось, что сотрудники фирмы не имеют права разглашать коммерческие тайны. Но там ничего не говорилось о том, какие именно сведения считаются секретной информацией. Если проверка, проведенная трудовой инспекцией, подтвердит неопределенность формулировок, работодателю придется отменить приказ об увольнении.
Перенос коммерческих сведений на флешку нельзя считать проступком, если не доказано, что работник передал этот носитель третьему лицу или поместил засекреченные данные в домашний компьютер.
Пример 2.
Сотрудник, уволившийся по собственному желанию, поделился конфиденциальной информацией о деятельности компании с конкурентами. В результате фирма понесла убытки. Руководство подает заявление в суд и требует, чтобы виновник возместил материальные потери. Для оценки справедливости требований и размеров ущерба суду также потребуется перечень секретных сведений и обоснование суммы убытков.
Чтобы избежать подобной неопределенности, работодатель должен составить список коммерческих тайн. В документе необходимо четко указывать, что их разглашение нанесет фирме финансовый ущерб. Следует отметить, кто из работников имеет право пользоваться конфиденциальной информацией. Необходимо сообщить о порядке обращения с подобными материалами и мерах, предпринимаемых для соблюдения конфиденциальности.
Секретные данные должны храниться под грифом «Коммерческая тайна».
Доступ к документам предоставляется только тем сотрудникам, которым они нужны для работы. Доверенное лицо дает расписку о неразглашении. Перед этим его знакомят со списком коммерческих тайн и предупреждают об ответственности за утечку информации.
В защите нуждается не только интеллектуальная собственность компании, но и сведения о клиентах. Разглашение их персональных и банковских данных грозит фирме потерей репутации, доверия.