Главная» Как защитить информацию» С чего начать»Порядок обращения с информацией, подлежащей защите

Порядок обращения с информацией, подлежащей защите

ОБЩИЕ ПОЛОЖЕНИЯ

 Настоящий Порядок разработан с целью соблюдения надлежащих правил обращения с не содержащими государственной тайны конфиденциальными и другими защищаемыми сведениями, а также защиты прав и интересов ОРГАНИЗАЦИИ, ее клиентов и корреспондентов в случае неправомерного обращения с защищаемой информацией.

 ОРГАНИЗАЦИЯ, как собственник (владелец) информации, принимает меры по защите банковской тайны, персональных данных, служебной тайны, своей коммерческой тайны и другой информации в соответствии с предоставленными ему действующим законодательством [1, 2, 3] правами и обязанностями.

 К категориям конфиденциальных относятся сведения, удовлетворяющие следующим критериям:

  •  они не являются общеизвестными или общедоступными на законных основаниях (в соответствии с [4]);
  •  монопольное обладание этими сведениями даёт ОРГАНИЗАЦИИ коммерческие преимущества, экономическую и иную выгоду и разглашение или открытое использование которых может привести к нанесению ущерба (материального, морального, физического) ОРГАНИЗАЦИИ, его клиентам или корреспондентам (коммерческая тайна);
  •  в отношении которых ОРГАНИЗАЦИЯ обязана обеспечить реализацию необходимых мер защиты (банковская тайна, персональные данные, служебная тайна);
  •  эти сведения не защищены действующим законодательством (авторским, патентным правом и т.п.).

3. Под банковской тайной понимаются сведения об операциях, счетах и вкладах, а также сведения о клиентах и корреспондентах Банка, подлежащие обязательной защите согласно ст.26 Закона РФ «О банках и банковских деятельности» [3] и ст.857 Гражданского кодекса [1].

Под служебной тайной понимаются сведения, не являющиеся банковской тайной, и подлежащие обязательной защите согласно «Перечня сведений ограниченного распространения в ОРГАНИЗАЦИИ», введенного Приказом № __ от __.__.__г.

Под коммерческой тайной ОРГАНИЗАЦИИ понимаются сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью ОРГАНИЗАЦИИ, разглашение (передача, утечка, открытое использование) которых может привести к нанесению ущерба ОРГАНИЗАЦИИ, ее клиентам или корреспондентам.

Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни граждан, позволяющие идентифицировать их личность [2].

4. Перечень сведений (информационных ресурсов), составляющих банковскую тайну определяется в соответствии с Законом РФ «О банках и банковских деятельности».

5. Перечень сведений (информационных ресурсов), составляющих коммерческую тайну ОРГАНИЗАЦИИ, неправильное обращение с которыми может нанести ущерб их собственнику, владельцу или иному лицу, определяется руководством ОРГАНИЗАЦИИ на основании предоставленных действующим законодательством прав.

6. Указанные перечни оформляются в виде “Перечня информационных ресурсов, подлежащих защите” (Приложение 4 к Положению об определении требований к защите (категорировании) ресурсов).

Кроме конфиденциальной информации в данный «Перечень ...» включается информация, подлежащая защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может привести к нанесению ощутимого ущерба ОРГАНИЗАЦИИ, ее клиентам или корреспондентам.

7. ОРГАНИЗАЦИЯ, как собственник (владелец) информации, составляющей коммерческую тайну ОРГАНИЗАЦИИ, имеет право передавать и продавать ее другим юридическим и физическим лицам в качестве товара при условии, что данная сделка не противоречит обязательствам ОРГАНИЗАЦИИ, не ущемляет права и не наносит вред самому ОРГАНИЗАЦИИ, его сотрудникам, клиентам или корреспондентам.

Раскрытие юридическим или физическим лицам коммерческой тайны ОРГАНИЗАЦИИ возможно в случае привлечения их к совместной хозяйственной, финансовой и иной деятельности, требующей передачи конфиденциальных сведений, и только в том объеме, который необходим для реализации целей и задач ОРГАНИЗАЦИИ, а также при условии принятия ими на себя обязательств по неразглашению и исключению неправомерного использования полученных сведений.

Право принятия решения на передачу (предоставление) конфиденциальных сведений третьим лицам предоставлено только Руководителю ОРГАНИЗАЦИИ.

Конфиденциальные сведения других юридических или физических лиц, переданные ОРГАНИЗАЦИИ для выполнения работ или осуществления иной совместной деятельности, и в отношении которых ОРГАНИЗАЦИЯ взяла на себя обязательство о неразглашении и исключении неправомерного их использования, подлежат защите наравне с другими сведениями, составляющими коммерческую тайну ОРГАНИЗАЦИИ.

Вся информация, предоставляемая раскрывающей стороной получающей стороне, остается исключительной собственностью раскрывающей стороны.

Информация не считается коммерческой тайной, а получающая ее сторона не будет иметь никаких обязательств в отношении данной информации, если она:

  • стала известна получающей стороне в результате неправильного обращения или хранения раскрывающей стороной;
  • стала известна получающей стороне от третьих лиц;
  • независимо разработана получающей стороной, при условии, что лицо или лица, разработавшие ее, не имели доступа к конфиденциальной информации раскрывающей стороны.

Передача сведений, составляющих банковскую тайну, осуществляется в строгом соответствии с действующим законодательством [3].

8. Каждый сотрудник ОРГАНИЗАЦИИ обязан сохранять банковскую, служебную и коммерческую тайну и соблюдать требования обращения с защищаемой информацией, ставшей ему известной (или доступной для манипулирования) в процессе работы. Свои обязательства по сохранению коммерческой тайны ОРГАНИЗАЦИИ он подтверждает при заключении трудового договора (контракта), подписывая “Соглашение (обязательство) о соблюдении требований обращения с защищаемой информацией” (Приложение 1).

Каждый сотрудник обязан знать и выполнять требования настоящего документа и принимать меры по предотвращению несанкционированной утечки (разглашения), искажения, блокирования или уничтожения используемой им в работе информации, подлежащей защите в соответствии с “Перечнем ...”.

В случае отсутствия, по мнению исполнителя, в “Перечне...” тех или иных подлежащих защите сведений, он обязан в кратчайший срок через руководителя своего структурного подразделения представить в отдел технической защиты информации Управления безопасности и защиты информации ОРГАНИЗАЦИИ свои предложения о внесении в “Перечень...” необходимых дополнений (изменений) и принятия мер по защите соответствующих информационных ресурсов.

9. Ответственными за принятие необходимых организационных и технических мер безопасности и соблюдение сотрудниками ОРГАНИЗАЦИИ требований обращения с защищаемой информацией являются Управления безопасности и защиты информации ОРГАНИЗАЦИИ (отдел технической защиты информации) и руководители структурных подразделений ОРГАНИЗАЦИИ (в соответствии с закреплением ответственности подразделений в “Перечне сведений...”)

10. Порядок учета, хранения и уничтожения документов и магнитных носителей информации.

В подразделениях ОРГАНИЗАЦИИ учет документов и магнитных носителей с защищаемой информацией осуществляется лицами (далее - делопроизводителями), которым поручен прием и учет несекретной документации.

На документах, содержащих сведения ограниченного распространения, проставляется  пометка “Для служебного пользования”. Указанная пометка и номер экземпляра проставляются в правом верхнем углу первой страницы документа. Использовать другие ограничительные пометки  или грифы (“Конфиденциально”, “Банковская тайна” и т.п.) запрещается.

Отнесение конкретных документов к документам «ДСП» производится исполнителем (разработчиком) и/или лицом, подписывающим (утверждающим) документ на основании “Перечня ...”.

Документы с пометкой “Для служебного пользования”:

  • учитываются, как правило, отдельно от несекретной информации. При незначительном объеме таких документов разрешается  вести их учет совместно с другими несекретными документами. К регистрационному номеру (индексу) документа добавляется отметка “ДСП”;
  • на последнем листе (на оборотной стороне) должно быть указано количество экземпляров, фамилия исполнителя, номер его телефона и дата печати. Отпечатанные и подписанные документы вместе с черновиками и вариантами передаются для делопроизводства. Черновики и варианты уничтожаются  секретарем с отражением факта уничтожения в учетных формах. Недописанные по каким-либо причинам проекты документов уничтожаются лично исполнителем;
  • после регистрации передаются сотрудникам подразделений под расписку;
  • пересылаются сторонним организациям заказными почтовыми отправлениями, а при наличии соответствующего договора через органы фельдсвязи или спецсвязи;
  • размножаются (тиражируются) с разрешения начальника подразделения. Разрешение оформляется на последнем листе (на оборотной стороне) размножаемого документа. Учет размноженных документов осуществляется поэкземплярно;
  • хранятся в надежно запираемых и опечатываемых шкафах (ящиках, хранилищах).

Требования пунктов настоящего Порядка распространяется и на съемные машинные носители информации, содержащие сведения ограниченного распространения. Используемые для записи защищаемой информации носители должны быть учтены у делопроизводителей подразделений ОРГАНИЗАЦИИ. На магнитном носителе проставляются регистрационный номер, пометка “Для служебного пользования”, дата и роспись работника, отвечающего за учет носителей.

При необходимости направления документов с пометкой “Для служебного пользования” в несколько адресов составляется указатель рассылки, в котором поадресно проставляются номера экземпляров отправляемых документов. Указатель рассылки  подписывается исполнителем и руководителем подразделения, готовившего документ.

Исполненные документы с пометкой “Для служебного пользования” группируются в дела в соответствии с номенклатурой дел несекретного делопроизводства. На обложке дела, в которое помещены такие документы, также проставляется пометка “Для служебного пользования”.

Уничтожение дел, документов, машинных носителей с пометкой “Для служебного пользования”, утративших свое практическое значение и не имеющих исторической ценности, производится по акту. В учетных формах об этом делается отметка со ссылкой на соответствующий акт.

Передача документов и дел с пометкой “Для служебного пользования” от одного работника другому осуществляется с разрешения руководителя подразделения, с отметкой в соответствующих журналах учета.

При смене работника, ответственного за учет документов с пометкой “Для служебного пользования”, составляется акт приема-сдачи этих документов, который утверждается начальником управления.

Проверка наличия документов, магнитных носителей информации и дел с пометкой “Для служебного пользования” проводится один раз в год комиссией, назначаемой начальником управления. Результаты проверки оформляются актом. Проверка наличия документов и порядка обращения с ними при необходимости может проводиться соответствующими сотрудниками Управления безопасности и защиты информации, а также лицом, которому поручен прием и учет документации ограниченного распространения.

 

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПРАВИЛ ОБРАЩЕНИЯ С ЗАЩИЩАЕМОЙ ИНФОРМАЦИЕЙ

В случае невыполнения требований настоящего документа и нанесения Банку, его клиентам и корреспондентам материального или иного ущерба, к получающей стороне (сотруднику, организации) предъявляются требования о его возмещении в соответствии с действующим законодательством.

За разглашение (несанкционированную передачу третьим лицам и т.п.) сведений, содержащих персональные данные или составляющих коммерческую или банковскую тайну должностные лица (сотрудники), клиенты и корреспонденты ОРГАНИЗАЦИИ несут уголовную (ст. 183 УК РФ), гражданскую (ст. 139, 857 ГК РФ) или дисциплинарную ответственность в порядке, определяемом действующим законодательством и внутренними нормативными актами ОРГАНИЗАЦИИ.

Получающая сторона несет ответственность за:

  • разглашение конфиденциальных сведений (составляющих банковскую тайну, коммерческую тайну или персональных данных) вследствие их неправильного хранения или использования;
  • не пресечение разглашения или неправомерного использования конфиденциальных сведений, после обнаружения факта разглашения.

За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой ОРГАНИЗАЦИЕЙ информации, сотрудники ОРГАНИЗАЦИИ несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации [5].

Библиография

  1. Гражданский кодекс РФ, ч. I, 1994, ч. II, 1995.
  2. Закон Российской Федерации «Об информации, информатизации и защите информации» от 20.02.1995 г. РГ, 1995, 22.02.
  3. Закон Российской Федерации «О банках и банковской деятельности» от 03.02.96 г.
  4. Постановление Правительства Российской Федерации «О перечне сведений, которые не могут составлять коммерческую тайну» от 05.12.91 г. №35.//Юридический вестник, 1992, январь.
  5. Уголовный кодекс РФ, 2001.

 


 

 

Приложение 1

к «Порядку обращения с информацией,

подлежащей защите»

 

СОГЛАШЕНИЕ (ОБЯЗАТЕЛЬСТВО)

О СОБЛЮДЕНИИ ТРЕБОВАНИЙ ОБРАЩЕНИЯ С ЗАЩИЩАЕМОЙ ИНФОРМАЦИЕЙ

ОРГАНИЗАЦИЯ, именуемая в дальнейшем _______________, в лице Руководителя ОРГАНИЗАЦИИ _______________________________________________, с одной стороны, и _________________________________________________________, именуемый (-ая) в дальнейшем СЛУЖАЩИЙ, с другой стороны, заключили настоящее соглашение о том, что:

1. СЛУЖАЩЕМУ будет предоставлен доступ к конфиденциальным и другим защищаемым ОРГАНИЗАЦИЕЙ сведениям, необходимым ей для выполнения своих функциональных обязанностей (согласно занимаемой должности).

2. СЛУЖАЩИЙ обязуется:

  • хранить тайну по операциям, счетам и вкладам ОРГАНИЗАЦИИ, ее клиентов и корреспондентов (банковскую тайну);
  • во время работы в ОРГАНИЗАЦИИ и в течение 3-х лет после увольнения не раскрывать (не передавать) третьим лицам ставшие ему известными конфиденциальные (защищаемые ОРГАНИЗАЦИЕЙ) сведения (за исключением случаев привлечения последних к деятельности, требующей раскрытия такой информации и только в объеме, необходимом для реализации целей и задач ОРГАНИЗАЦИИ, с письменного разрешения руководства ОРГАНИЗАЦИИ);
  • не использовать ставшие ему известными или разработанные им конфиденциальные сведения иначе, как в интересах ОРГАНИЗАЦИИ;
  • соблюдать указанные в «Порядке обращения с информацией, подлежащей защите» требования и правила обеспечения информационной безопасности ОРГАНИЗАЦИИ;
  • в случае прекращения работы в ОРГАНИЗАЦИИ, сразу же возвратить ОРГАНИЗАЦИИ все документы и другие материалы, содержание которых отнесено к конфиденциальной и иной защищаемой ОРГАНИЗАЦИЕЙ информации, полученные в ходе выполнения СЛУЖАЩИМ своих служебных обязанностей.

3. СЛУЖАЩИЙ подтверждает, что:

  • он (она) ознакомлен(-а) с требованиями «Порядка обращения с информацией, подлежащей защите»;
  • он (она) не имеет перед кем-либо никаких обязательств, которые входят в противоречие с настоящим соглашением или ограничивают его (ее) деятельность в ОРГАНИЗАЦИИ.

                                                                                        СЛУЖАЩИЙ

"____"_____________200   г.

Комментарии к статье "Порядок обращения с информацией, подлежащей защите"
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?