Нормативные документы, регламентирующие деятельность персонала по защите информации

1. Соответствие разрабатываемых на предприятии нормативных документов, требованиям нормативно-правовых документов государственных органов и ведомственных институтов в части защиты информации.
2. Соответствие разрабатываемых на предприятии нормативных документов требованиям ГОСТов по защите информации.
3. Своевременное внесение изменений и дополнений в действующие на предприятии НМД при изменении нормативно-правовой базы на государственном и ведомственном уровнях.
4. Полная обеспеченность специализированных подразделений необходимыми документами для решения ими всей совокупности задач по защите информации.
5. Отражение в содержании НМД всей специфики работ по защите информации для конкретного предприятия.

Нормативно-правовые документы: Устав (Учредительный договор) Коллективный договор Правила внутреннего трудового распорядка Трудовой договор (контракт)

Договор о неразглашении (нераспространении) сведений (подписка о неразглашении) Гражданско-правовые договора Перечень конфиденциальных сведений Приказы

Нормативно-организационные документы:

Положение о защите конфиденциальной информации (основные разделы документа)

Положение о службе безопасности предприятия (основные разделы документа) Положение о подразделении охраны

Положение о подразделении  защиты информации (основные разделы документа)

Положение о подразделении  режима

Положение о службе защищенного  документооборота

Должностные инструкции сотрудников этих служб (основные разделы  документа) Должностная инструкция специалиста (менеджера) по безопасности для небольшой фирмы

Положения о структурных подразделениях, работающих с конфиденциальной информацией

Должностные инструкции сотрудников предприятия, работающих с конфиденциальной информацией.

Нормативно-технологические  документы

Инструкция о порядке  формирования перечня конфиденциальных ведений Инструкция по созданию, работе, движению и хранению конфиденциальных документов Порядок подготовки и проведения конфиденциальных совещаний Порядок подготовки и проведения конфиденциальных переговоров

Инструкция по защите информации в публикаторской и рекламно-выставочной деятельности

Инструкция по проверке сохранности носителей с конфиденциальной информацией Инструкция по проверке соблюдения персоналом требований по работе с конфиденциальной информацией

Порядок проведения служебных  расследований по фактам утечки конфиденциальной информации

Нормативно-методические и информационные документы (правила, требования, указания, памятки и  т.п.).

Методика оценки уровня осведомленности сотрудника Методика оценки критических расстояний распространения ЭМИ Памятка сотруднику об основных мерах по защите информации

Специализированные НМД  по внутреннему и внешнему электронному документообороту.

 

 

3. Прядок разработки и внедрения нормативно-методических документов

Порядок разработки и  внедрения НМД

Работа по разработке и внедрению НМД строится на основании приказов руководителя предприятия, распоряжений начальника службы безопасности, утвержденных руководством и согласованных с подразделениями-соисполнителями планов работы по подготовке документов. Для разработки НМД могут создаваться специальные рабочие группы (комиссии).

Все разработанные НМД  должны быть согласованы с руководителями структурных подразделениями, работающих с конфиденциальной информацией, и  утверждены руководителем предприятия.

Работа по разработке и внедрению НМД строится на основании приказов руководителя предприятия, распоряжений начальника службы безопасности, утвержденных руководством и согласованных с подразделениями-соисполнителями планов работы по подготовке документов. Для разработки НМД могут создаваться специальные рабочие группы (комиссии). Все разработанные НМД должны быть согласованы с руководителями структурных подразделениями, работающих с конфиденциальной информацией, и утверждены руководителем предприятия.

Документы предприятия, регулирующие отношения с государством и с коллективом сотрудников на правовой основе. К ним можно отнести:

• устав предприятия, закрепляющий условия обеспечения безопасности деятельности и защиты информации;
• Перечень сведений, содержащих коммерческую тайну;
• трудовые договоры с сотрудниками предприятия, содержащие требования по обеспечению

защиты сведений, составляющих коммерческую тайну и др.;

• правила внутреннего трудового распорядка рабочих и служащих;
• должностные обязанности руководителей, специалистов и обслуживающего персонала.

Эти документы играют важную роль в обеспечении безопасности предприятия.

Для предприятия необходимо внести в устав следующие дополнения:

• предприятие имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;
• обязано обеспечить сохранность коммерческой тайны;
• состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем предприятия;
• имеет право не предоставлять информацию, содержащую коммерческую тайну;
• руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.

Внесение этих дополнений дает право администрации:

• создавать организационные структуры по защите коммерческой тайны;
• издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
• включать требования по защите коммерческой тайны в договора по всем видам деятельности;
• требовать защиты интересов фирмы перед государственными и судебными органами;
• — распоряжаться информацией, являющейся собственностью, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства.

Кроме этого, предприятию нужно разработать «Перечень сведений, составляющих коммерческую тайну».

Перечень должен разрабатываться  специальной комиссией, в которую  включаются квалифицированные специалисты  по всем направлениям деятельности предприятия. В состав комиссии должны входить руководители службы защиты информации (службы безопасности) и лицо, ответственное за конфиденциальное делопроизводство. Комиссия назначается приказом руководителя предприятия. В этом же приказе устанавливаются общий механизм и сроки разработки перечня. Разработка перечня может быть возложена и на экспертную комиссию предприятия, осуществляющую экспертизу ценности документов, если ее состав отвечает требованиям, предъявляемым к комиссии по составлению перечня.

На первом этапе работы комиссия должна на основе анализа  всех направлений деятельности предприятия  установить весь состав циркулирующей  на предприятии информации, отображенной на любом носителе, любым способом и в любом виде, а также с учетом перспектив развития предприятия и его взаимоотношений с партнерами определить характер дополнительной информации, которая может возникнуть в результате деятельности предприятия. Эта информация классифицируется по тематическому признаку.

На втором этапе определяется, какая из установленной информации должна быть конфиденциальной, и отнесена к коммерческой тайне.

В соответствии со ст. 139 ГК РФ и другими нормами федеральных  законов информация может составлять коммерческую тайну, если она отвечает следующим требованиям (критерии правовой охраны):

• имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам;
• не подпадает под перечень сведений, доступ к которым не может быть ограничен, и перечень сведений, отнесенных к государственной тайне;
• к ней нет свободного доступа на законном основании;
• обладатель информации принимает меры к охране ее конфиденциальности.

Также следует заметить, что нецелесообразно относить информацию к коммерческой тайне, если затраты  на ее защиту превысят количественные и качественные показатели преимуществ, получаемых при ее защите.

После установления состава  конфиденциальной информации определяются сроки ее конфиденциальности либо указываются  обстоятельства и события, при наступлении  которых конфиденциальность снимается. Сроки конфиденциальности должны соответствовать срокам действия условий, необходимых и достаточных для признания данной информации конфиденциальной в соответствии с законодательством.

Результаты работы оформляются  перечнем сведений, составляющих коммерческую тайну, каждый из которых может иметь следующие графы:

| №.' п/и I Название сведений| Сроки конфиденциальности |

Перечни подписываются  всеми членами комиссии, утверждаются и вводятся в действие приказами  руководителя предприятия. В приказах должны быть определены мероприятия по обеспечению функционирования перечней и контролю их выполнения. С приказами и перечнями необходимо ознакомить под расписку всех сотрудников предприятия, работающих с соответствующей конфиденциальной информацией.

Дополнения и изменения  состава включенных в перечни  сведений могут вноситься с разрешения руководителя предприятия за подписями  руководителя подразделения по принадлежности сведений и руководителя службы защиты информации (службы безопасности).

В трудовой договор предприятия необходимо внести ряд пунктов соответствующего характера:

1. Работник обязан соблюдать конфиденциальность сведений, которые ему стали известны в процессе работы. В случае нарушения конфиденциальности работник несет материальную и административную ответственность в соответствии с действующим законодательством РФ и правилами внутреннего распорядка работодателя. Обязательства по соблюдению конфиденциальности остаются в силе и после прекращения срока действия настоящего договора в течение одного года;
2. Отдельную статью, связанную с конфиденциальностью, в которой бы содержалось следующее:
1. Под «Коммерческой тайной» понимаются носящие конфиденциальный характер сведения и их носители, по<span class="dash041e_0441_043d_043e_0432_043d_043e_0439_0020_0442_0435_043a_0441_044