1.1.Настоящее Положение определяет единый режим конфиденциальности и является основным руководящим документом, обязательным для исполнения всеми Структурными подразделениями Компании.
1.2.Режим конфиденциальности определяется:
Кроме указанных мер в Компании могут применяться, при необходимости, средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.
1.3. Ответственность за организацию режима конфиденциальности в структурных под-разделениях Компании несут их руководители.
1.4.Работники Компании несут ответственность за соблюдение режима конфиденциальности в соответствии с законодательством Российской Федерации и взятыми на себя добровольными обязательствами перед Компанией.
Федеральный закон от 20 февраля 1995г. № 24-ФЗ "Об информации, информатизации и защите информации".
Закон РФ от 10 января 2002г. № 1-ФЗ "Об электронной цифровой подписи".
Закон РФ от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».
Федеральный закон РФ от 30 декабря 2001 г. № 197-ФЗ «Трудовой кодекс РФ».
Режим конфиденциальности – правовые, организационные, технические и иные меры, принимаемые Компанией и ее контрагентами к охране конфиденциальной информации.
Конфиденциальная информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления, составляющие коммерческую тайну, или иные сведения, охраняемые в соответствии с законодательством Российской Федерации, а также нормативными актами и документами Компании.
Передача конфиденциальной информации - доведение ее обладателем в документированном виде до уполномоченных штатных работников Получающей стороны и принятие ими установленных законом или договором мер по охране ее конфиденциальности. Конфиденциальный документ – зафиксированная на материальном носителе конфиденциальная информация с реквизитами, позволяющими ее идентифицировать.
Структурное подразделение – управление Главного офиса, иное подразделение Компании или дочерние компании, разрабатывающее конфиденциальный документ или курирующее его разработку сторонней организацией.
Компания – «___________», включая дочерние компании.
Гриф конфиденциальности – применяемые в Компании грифы конфиденциальности:
Ограничительные отметки - применяемые в Компании отметки ограничивающие доступ к информации:
4.1. Конфиденциальная информация Компании состоит из:
4.2. Отнесение конкретной информации о деятельности Компании к конкретной категории конфиденциальной производится на основании Перечня сведений, составляющих коммерческую тайну, Перечня конфиденциальной информации, Перечня персональных данных Компании (далее – Перечни).
4.3.К конфиденциальной информации следует относить:
Информация имеет действительную или потенциальную коммерческую ценность, если она позволяет или может позволить обладателю коммерческой тайны при существующих или возможных обстоятельствах в силу неизвестности ее третьим лицам:
4.4. Не может быть отнесена к категории конфиденциальной информация:
4.5. Степень конфиденциальности сведений должна соответствовать тяжести ущерба, который может быть нанесен интересам Компании в финансово-экономической, научно-технической и иных областях ее деятельности, а так же деловой репутации Компании вследствие распространения указанных сведений.
Под ущербом понимаются расходы, которые Компания произвела или должна будет произвести для восстановления нарушенного права, утраты или повреждение имущества, а также неполученные доходы, которые Компания получила бы при обычных условиях гражданского оборота, если бы её право не было нарушено.
Количественные и качественные показатели ущерба Компании определяются в соответствии с нормативно-методическими документами, разрабатываемые Структурными подразделениями и утверждаемые руководителями в части их полномочий по отнесению сведений к коммерческой тайне, и согласованными с заместителем Генерального директора по безопасности.
4.6. Степень конфиденциальности сведений, находящихся в распоряжении нескольких Структурных подразделений устанавливается по взаимному согласованию между ними.
4.7. К категории конфиденциальных относятся также сведения, которые получены установленным порядком от предприятий, учреждений, организаций или граждан, не состоящих в отношении подчиненности к руководителю Компании и на которые имеется ссылка, как на конфиденциальные.
4.8.Документам Компании, содержащим конфиденциальную информацию, присваиваются следующие грифы конфиденциальности: Коммерческая тайна, Персональные данные.
4.9.Необходимость присвоения документу грифа конфиденциальности определяется исполнителем. Контроль соответствия грифа конфиденциальности содержанию документа осуществляет руководитель структурного подразделения.
4.10.Грифы конфиденциальности могут не проставляться на документах бухгалтерского учета и отчетности, договорах, финансовых документах установленной формы и документах, содержащих персональные данные работников Компании.
Порядок учета, хранения и работы с указанными документами в подразделении определяются руководителем Компании с учетом требований режима конфиденциальности. Пересылка (передача) таких документов другим подразделениям Компании или сторонним организациям производится установленным данным Положением порядком. При этом грифы конфиденциальности проставляются на сопроводительном письме.
5.1.Допуск работников структурных подразделений Компании к конфиденциальной информации осуществляется приказом по Компании на основании мотивированного письма руководителя структурного подразделения на имя заместителя Генерального директора по безопасности.
Руководитель структурного подразделения несет персональную ответственность за подбор работников своего подразделения, допускаемых к конфиденциальной информации, и обязан обеспечить систематический контроль над тем, чтобы к указанной информации получали доступ только те лица, которым она необходима для выполнения своих функциональных обязанностей.
5.2. Допуск работников к конфиденциальной информации осуществляется только после подписания ими Трудового договора установленного образца с принятием работником индивидуальных обязательств, по лояльности Компании.
5.3.Командированные сторонними организациями лица допускаются к конфиденциальной информации Компании на основе письменных разрешений соответствующих руководителей, согласованных с заместителем Генерального директора по безопасности, при наличии Соглашения о конфиденциальности между Компанией и командирующей организацией, письменных запросов руководителей организаций, в которых работают командированные, с указанием целей получения конфиденциальной информации и перечня конкретных сведений, а также предписаний на выполнение заданий.
6.1.Лица, допущенные к конфиденциальной информации, обязаны:
6.2. Лицам, допущенным к конфиденциальным работам, документам, запрещается:
Требования к работникам по защите конфиденциальной информации включаются в Правила внутреннего трудового распорядка для сотрудников подразделения и в должностные инструкции работников.
7.1. Учет конфиденциальных документов
7.1.1. Учету подлежат все конфиденциальные входящие, исходящие и внутренние документы. Учет документов осуществляется по количеству листов, изданий (книг, журналов, брошюр) – поэкземплярно.
7.1.2. Учет документов производится ответственным за конфиденциальное делопроизводство.
7.1.3. Порядковая нумерация документов является единой для всех конфиденциальных документов. Учет конфиденциальных документов производится в отдельных от неконфиденциального учета журналах учета.
7.1.4. На каждом поступившем конфиденциальном документе, а также на сопроводительном письме к таким документам проставляется регистрационный штамп (для входящих документов) или отметка о поступлении (для внутренних документов).
7.1.5. Исполненные конфиденциальные документы группируются в дела в соответствии с номенклатурой дел делопроизводства. При этом на обложке дел, в которые помещены такие документы, проставляется гриф конфиденциальности.
7.2. Порядок оформления и оборота конфиденциальных документов
7.2.1. Гриф конфиденциальности, номер экземпляра, номер листа и общее количество листов в документе проставляются в правом верхнем углу всех страниц документа, на обложке и титульном листе издания и на первой странице сопроводительного письма к этим материалам, например:
Логотип Компании | Наименование и реквизиты Компании | Конфиденциально
Коммерческая тайна Экз. № ____ Лист 8 из 15 |
Кроме того, в сопроводительном письме к материалам, имеющим категорию конфиденциальности, делается отметка, например:
Приложение: проект инструкции, конфиденциально, коммерческая тайна, экз. № 2, на 5 листах.
7.2.2. Печатание документов, содержащих конфиденциальные сведения, производится в структурных подразделениях Компании.
В левом нижнем углу последнего листа каждого экземпляра конфиденциального документа необходимо указывать количество отпечатанных экземпляров, фамилии исполнителя и отпечатавшего, дату отпечатывания например:
Отп. 2 экз. Исп. и отп. Иванов И.И. 22.05.06
или
Отп. 1 экз. Исп. Иванов И.И. Отп. Петрова П.П. 22.05.06
7.2.3. Режим конфиденциальности при работе на средствах вычислительной техники определяется Положением о порядке и организации работ по защите конфиденциальной информации в автоматизированных системах Компании, отдельными должностными инструкциями персонала, ответственного за ее эксплуатацию (ремонт, обслуживание).
Подготовка конфиденциальных документов на ПЭВМ и хранение их в электронном виде допускается только в случае использования систем и технологий, имеющих средства защиты информации в соответствии с установленными требованиями.
Гриф конфиденциальности информации, содержащейся во входных (до обработки на СВТ) документах и выходных (после обработки на СВТ) машинных документах, определяется пользователем в соответствии с Перечнями.
7.2.4. При размещении конфиденциальной информации на сменном машинном носителе информации, гриф конфиденциальности указывается на бумажной этикетке, размещаемой (по возможности) на нерабочей стороне носителя информации или, при невозможности нанесения непосредственно на носитель, его футляре.
7.2.5. Отпечатанные и подписанные документы передаются для регистрации лицу, осуществляющему ведение конфиденциального делопроизводства. Черновики документа уничтожаются исполнителем.
Об уничтожении черновиков конфиденциальных документов делается запись в журнале учета и заверяется подписью исполнителя.
7.2.6. Тиражируемые конфиденциальные документы и материалы, полученные для рассылки, регистрируются под одним входящим (исходящим) номером.
Дополнительно размноженные экземпляры документа учитываются за номером этого документа, о чем делается отметка в учетных формах. Нумерация дополнительно размноженных документов производится от последнего номера ранее учтенных экземпляров.
Конфиденциальные документы, полученные из сторонних организаций, могут быть размножены только с учетом согласованных с ними условий соблюдения конфиденциальности.
7.2.7. Пересылка конфиденциальных документов в другие организации производится специальной связью или лично - работниками подразделений Компании.
Отправляемые конфиденциальные документы должны быть помещены в конверты и упакованы. Использовать конверты с прозрачными «окошками» для пересылки таких документов запрещается.
В верхнем правом углу адресной стороны пакетов проставляется гриф конфиденциальности.
7.2.8.При необходимости направления конфиденциальных документов нескольким адресатам составляется список рассылки, в котором по каждому адресу проставляются номера экземпляров отправляемых документов. Список рассылки подписывается исполнителем и руководителем структурного подразделения, готовившего документ.
7.2.9.Передача конфиденциальных документов по каналам связи за пределы Главного офиса Компании допускается только в случае использования защищенных систем передачи данных в соответствии с установленными требованиями.
7.2.10.Передача конфиденциальных документов внутри Компании производится только через помощника руководителя или лицо, ответственное за ведение конфиденциального делопроизводства. Конфиденциальные документы передаются работникам подразделений или представителям сторонних организаций под расписку.
7.2.11.Запрещается изъятие из дел или перемещение конфиденциальных документов из одного дела в другое без разрешения лица, осуществляющего их учет. Обо всех произведенных изъятиях или перемещениях делаются отметки в учетных формах.
7.3.Обеспечение сохранности конфиденциальной информации
7.3.1.Конфиденциальные документы должны храниться в служебных помещениях подразделений Компании, исключающих доступ к ним посторонних лиц.
7.3.2.Работник, получивший конфиденциальный документ для работы с ним, обязан исключить возможность ознакомления с его содержанием лиц, не имеющих оформленного в установленном порядке доступа к данной категории информации.
7.3.3.За сохранность конкретного конфиденциального документа отвечает работник, получивший этот документ для ознакомления или исполнения.
7.3.4.Запрещается выносить конфиденциальные документы для работы с ними вне служебных помещений.
7.3.5.При уходе в отпуск, в случае болезни и выезда в командировку работник по указанию руководителя структурного подразделения передает находящиеся у него на исполнении конфиденциальные документы другому работнику через конфиденциальное делопроизводство.
7.3.6.Командированным работникам под их личную ответственность с разрешения руководителей разрешается иметь при себе в пути следования конфиденциальные документы.
Порядок вывоза документов, содержащих конфиденциальную информацию, за пределы Российской Федерации согласовывается с заместителем Генерального директора по безопасности в каждом конкретном случае.
7.3.7. При смене работников, ответственных за ведение делопроизводства, составляется акт приемапередачи этих конфиденциальных материалов, утверждаемый руководителем структурного подразделения Компании.
7.3.8. Проверка наличия конфиденциальных документов производится не реже одного раза в год комиссией, назначаемой приказом по Компании. Результаты проверки оформляются актом. Копия акта направляется заместителю Генерального директора по безопасности.
7.3.9. О фактах утраты документов, дел и изданий, содержащих конфиденциальную информацию, либо разглашения этой информации ставится в известность заместитель Генерального директора по безопасности, и назначается комиссия для расследования обстоятельств утраты или разглашения. Результаты расследования докладываются Генеральному директору.
На утраченные конфиденциальные документы, дела и издания составляется акт, на основании которого делаются соответствующие отметки в учетных формах. Акты на утраченные дела постоянного срока хранения после их утверждения передаются в архив для включения в дело фонда.
Уничтожение конфиденциальных дел и документов, утративших свое практическое назначение и не имеющих исторической ценности, производится по акту. В учетных формах об этом делается отметка со ссылкой на соответствующий акт.
7.3.10. Уничтожение производится комиссией в составе не менее двух человек.
7.3.11. Отобранные для уничтожения конфиденциальные дела, утратившие практическое значение, оформляются отдельным актом.
7.3.12. После уничтожения конфиденциальных дел в учетных документах проставляется отметка: «Уничтожено. Акт №___ от (дата)».
8.1. Передача конфиденциальной информации российским и зарубежным контрагентам
8.1.1. Передача конфиденциальной информации российским и зарубежным контрагентам осуществляется после подписания ими Соглашения о конфиденциальности (далее именуется - Соглашение).
8.1.2. Соглашения оформляются юридическим отделом Компании, осуществляющими взаимодействие с контрагентами, в соответствии с типовой формой и порядком, принятыми в Компании.
8.1.3. Оформленный и завизированный установленным порядком проект Соглашения подписывается Генеральным директором Компании.
8.1.4. В случае если запрашиваемая информация относится к категории конфиденциальной, решение о передаче ее контрагенту в объеме, достаточном для выполнения работ, принимает Генеральный директор Компании. Оформление, учет и передача конфиденциальной информации в этом случае осуществляется в соответствии с данным Положением. В целях обеспечения своевременности выполнения данных работ ответственным исполнителем разрабатывается план подготовки и представления необходимых материалов, который согласовывается с заместителем Генерального директора по безопасности.
8.1.5. В случае если для получения конфиденциальной информации необходимо обращение к другим структурным подразделениям Компании, ответственный исполнитель направляет запрос на имя заместителя Генерального директора по безопасности.
8.1.6. В случае положительного решения, необходимые сведения оформляются и передаются ответственному исполнителю в соответствии с Инструкцией по делопроизводству в Компании.
8.1.7. Руководитель структурного подразделения Компании, осуществляющего фактическую передачу конфиденциальной информации Контрагенту, направляет заместителю Генерального директора по безопасности копию запроса Контрагента на предоставление информации и служебную записку, в которой излагаются:
8.1.8. В случае если информация, необходимая для проведения работ не определена Перечнями как конфиденциальная, а характер и важность проводимых работ, а так же другие факторы вызывают необходимость перевода ее в разряд конфиденциальной, то:
8.1.9. При передаче персональных данных работника должны выполняться следующие требования:
8.2. Передача конфиденциальной информации органам государственной власти и местного самоуправления
8.2.1. Передача конфиденциальной информации органам государственной власти осуществляется на основании решения Генерального директора или лица исполняющего его обязанности.
8.2.2. Документированная информация, подлежащая передаче в соответствии с действующим законодательством РФ органам государственной власти и местного самоуправления в обязательном порядке и содержащая сведения конфиденциального характера, представляется структурными подразделениями Компании этим органам по утвержденным ими формам и в установленные сроки.
8.2.3. В случае, если орган государственной власти или местного самоуправления не обладает необходимыми полномочиями для запроса конфиденциальных сведений, либо запрашиваемые сведения не подлежат представлению в обязательном порядке, то передача указанных сведений должна осуществляться после принятия решения лицами, указанными в п. 8.2.1., исключительно по письменным запросам, оформленным на официальных бланках и за подписью руководителей указанных органов государственной власти или местного самоуправления. При этом объем передаваемых конфиденциальных сведений не должен превышать объем сведений, который данный орган государственной власти или местного самоуправления уполномочен получать.
8.2.4. Запросы, оформленные с нарушениями требований, указанных в п.8.2.3., направлять заместителю Генерального директора по безопасности без исполнения.
8.2.5. При передаче органам государственной власти и местного самоуправления документов, содержащих конфиденциальную информацию Компании, в сопроводительном письме следует уведомить эти органы о конфиденциальности передаваемых сведений.
8.2.6. Допуск к конфиденциальной информации уполномоченных должностных лиц органов государственной власти и местного самоуправления, прибывающих на законном основании в структурные подразделения Компании для проведения проверок, ревизий либо иных мероприятий, осуществляемых в рамках полномочий указанных органов, должен осуществляться после предъявления соответствующих предписаний.
8.2.7. При ознакомлении уполномоченных должностных лиц органов государственной власти и местного самоуправления с конфиденциальными сведениями Компании в период проведения ими проверок, ревизий либо иных мероприятий, осуществляемых в рамках полномочий указанных органов, они должны быть предупреждены в письменной форме о том, что предоставляемые им документы и материалы являются конфиденциальными.
9.1. Разрешение на проведение в подразделении совещания (переговоров), на котором планируется обсуждение конфиденциальной информации, дает его руководитель.
9.2. Руководитель, давший разрешение на проведение совещания (переговоров), назначает ответственного за его проведение. Последний составляет список участников совещания (переговоров) с указанием фамилии, имени, отчества, должности и подразделения. На совещание (переговоры) допускаются только те лица, фамилии которых указаны в списке.
9.3. Совещание (переговоры) проводится в специально отведенном для этого помещении, исключающем возможность применения визуально-оптических, акустических и других технических средств несанкционированного получения информации.
9.4. Проводящий совещание (переговоры) обязан напомнить участникам встречи о необходимости сохранения конфиденциальности и уточнить конкретно, какие сведения являются охраняемыми. Это напоминание фиксируется в протоколе совещания (переговоров).
9.5. На каждом совещании, связанном с обсуждением конфиденциальной информации, ведется протокол (письменный или звукозапись), в котором фиксируются доклад, информация, выступления, вопросы, решения с указанием фамилий выступавших. Отдельные переговоры по конфиденциальным вопросам могут оформляться в виде записи бесед.
Указанные материалы регистрируются и хранятся установленным порядком.
10.1. Контроль исполнения режима конфиденциальности в Компании осуществляется в целях изучения и оценки фактического состояния защищенности конфиденциальной информации, выявления недостатков и нарушений режима конфиденциальности, установления причин таких недостатков и нарушений и выработки предложений, направленных на их устранение и предотвращение.
10.2. Контроль исполнения режима конфиденциальности осуществляет заместитель Генерального директора по безопасности и специалист по информационной безопасности.
10.3. Проверки исполнения режима конфиденциальности проводят комиссии (отдельные лица), назначаемые Генеральным директором Компании.
10.4. Комиссии (лица) имеют право привлекать к проверкам специалистов из других Структурных подразделений Компании по согласованию с их руководителями.
10.5. Комиссия для проверки исполнения режима конфиденциальности комплектуется из опытных и квалифицированных работников в составе не менее двух человек, имеющих допуск к соответствующей информации. Участие в проверке не должно приводить к необоснованному увеличению осведомленности членов комиссии в конфиденциальной информации.
10.6. Проверки проводятся в присутствии руководителей Структурных подразделений Компании, подлежащих проверке, или замещающих их лиц.
10.7. Проверяющие имеют право знакомиться со всеми документами, имеющими отношение к проверяемым вопросам, а также проводить беседы и консультации со специалистами и исполнителями, получать письменные объяснения, справки, отчеты по всем вопросам, входящим в компетенцию комиссии.
10.8. По результатам проверки составляется акт с отражением в нем состояния режима конфиденциальности, выявленных недостатков и нарушений, предложений по их устранению.
10.9. Структурное подразделение, в котором проводилась проверка, составляет план мероприятий по устранению выявленных недостатков и нарушений и реализации предложений, содержащихся в акте. План согласовывается с заместителем Генерального директора по безопасности.
10.10. Об устранении выявленных в результате проверки недостатков и нарушений в ре-жиме конфиденциальности и реализации предложений, руководитель проверенного структурного подразделения Компании в установленные планом сроки сообщает заместителю Генерального директора по безопасности.
11.1. О фактах утраты конфиденциальных документов руководители структурных подразделений обязаны немедленно сообщить заместителю Генерального директора по безопасности, принять меры к организации служебного расследования с целью выяснения обстоятельств их утраты, и поиску утраченных документов.
11.2. Для проведения служебного расследования, не позднее, чем на следующий день после обнаружения факта утраты конфиденциальных документов, приказом Генерального директора Компании (или его первого заместителя) создается комиссия в составе не менее трех человек.
11.3. Комиссия, проводящая служебное расследование, обязана установить обстоятельства утраты конфиденциальных документов, лиц, виновных в утрате (разглашении), причины и условия, способствовавшие утрате (разглашению) и выработать рекомендации по их устранению.
11.4. Члены комиссии, проводящие служебное расследование, имеют право:
11.5. Служебное расследование должно проводиться в максимально короткие сроки (не более месяца со дня обнаружения факта утери/разглашения). В эти же сроки должно быть принято решение о привлечении виновных лиц к ответственности в установленном порядке вопрос.
11.6. В случаях, когда в течение данного срока утраченные конфиденциальные документы не обнаружены, поиск может быть прекращен. О прекращении поиска составляется мотивированное заключение, которое утверждается руководителем, назначившим комиссию.
11.7. Результаты всех мероприятий, проводимых в процессе служебного расследования, документируются.
11.8. Для уточнения степени конфиденциальности утерянной информации комиссия может привлекать специалистов, имеющих отношение к информации и документам, по которым дается заключение о степени их конфиденциальности.
11.9. Степень конфиденциальности утраченных документов, поступивших из других организаций, определяется специалистами организаций, подготовивших документы.
11.10. По окончании служебного расследования комиссия представляет Генеральному директору Компании на утверждение заключение о результатах проведенного служебного расследования с письменными объяснениями лиц, которых опрашивали члены комиссии, актами проверок документации, помещений, сейфов и т. п. и другие документы, имеющие отношение к служебному расследованию.