Применение грифов конфиденциальности

Для обеспечения информационной безопасности на предприятии работу с документами с ограниченным доступом необходимо строго контролировать. Применение грифов конфиденциальности — следующий важный этап после введения режима коммерческой тайны. Подробнее в материале. 

Углубимся в теорию.

Коммерческая тайна (далее КТ) — это информация, которая имеет коммерческую ценность в силу ее неизвестности третьим лицам. Как правило, она закрыта от публичного доступа и охраняется законом.

Служебная тайна (СТ) — это сведения, которые известны ограниченному кругу лиц в силу исполнения ими служебных обязанностей. Она не подлежит разглашению и охраняется законом.

Информационный актив (ИА) — это любые данные, документы или сведения, которые принадлежат предприятию, управляются или поддерживаются им.

Грифы конфиденциальности

Гриф конфиденциальности — это специальная метка, говорящая о наличии сведений ограниченного доступа. Может быть представлена в виде пометы, отметки, штампа, размещенных на бумажных, машиночитаемых или электронных носителях.

Чувствительные сведения, которые используются внутри организации, могут иметь несколько уровней ограничения доступа, что будет отмечено соответствующими метками.

«Конфиденциально», «Конфиденциальная информация».	Первый уровень — самый распространенный.
«Строго конфиденциально», «Строго конфиденциальная информация», «Конфиденциально. Особый контроль».	Второй — менее массовый —уровень секретности, присваивается носителям сведений руководителем организации, им отменяется или изменяется.
«Для служебного пользования», «Служебная информация», «Не для печати».	Оформляется на информационных активах, отнесенных к служебной тайне.
«Собственная информация предприятия», «Хранить в сейфе», «Информация особого внимания», «Не снимать копии» и проч.	Грифы для обозначения ценных, при этом не секретных документов.

На заметку: грифы проставляются на всех экземплярах документов, их черновиках и копиях, если в них содержатся какие-либо важных для предприятия конфиденциальных данных.

Закон не регулирует оформление грифов, при этом есть общие рекомендации:

1. Гриф наносят в правом верхнем углу первой страницы, кавычки не проставляются. В письмах гриф размещается над реквизитом «Адресат».
2. Гриф можно наносить рукописным или машинописным способом, также можно использовать штамп.
3. Учетный номер документа можно вынести в колонтитул на лицевой или оборотной стороне каждой страницы небольшим шрифтом, например, № 6 или № 8.
4. Текст грифа не сокращается!
5. На цифровых документах гриф обозначается на каждой странице.
6. Под грифом или ниже адресата можно дополнительно проставить ограничительные пометы, например «Лично», «Только в руки», «Только адресату», «Лично в руки» и проч.
7. В случае если у секретного документа есть приложения, содержащие охраняемые сведения, на него следует поместить отметку о наличии приложения, полное название документа, учетный номер и количество страниц.

Обратите внимание!

Использование грифа «Конфиденциально» удобно тем, что не раскрывает приблизительное содержание носителя, по сравнению, например, с грифами «Коммерческая тайна» или «Налоговая тайна».  

Оформление грифов «Коммерческая тайна» и «Конфиденциально»

Такие грифы состоят из заголовка «Коммерческая тайна» или «Конфиденциально», полного названия предприятия, его адреса и номера документа.

Важно!

На оборотной стороне последнего листа каждого экземпляра секретного документа в левом нижнем углу размещаются:

• учетный номер;
• число копий;
• число страниц в каждой копии;
• дата создания;
• число адресатов для всех копий;
• ФИО и номер телефона исполнителя.

Как правило, гриф присваивается документу уже на этапе подготовки его проекта. Назначение грифа должно проходить под строгим контролем обладателя информации. Снятие грифа или его изменение осуществляется при любых изменениях степени секретности и ценности содержащихся в нем данных.

Помимо прочих выделяют следующие основания для снятия грифа:

• при изменении или актуализации перечня охраняемых данных;
• по истечении срока действия;
• при разглашении охраняемых сведений, например, опубликовании в СМИ, или при иных событиях, когда гриф должен быть снят;
• при установлении факта несоответствия содержания присвоенному грифу.

Помимо прочего, рационально получить визу подразделений или лиц, ответственных за конфиденциальное делопроизводство. Это значит, секретный документ должен пройти проверку на соответствие содержания назначенному грифу, а также на соответствие оформления принятым на предприятии нормам.

Конфиденциальность электронной документации

Цифровизация документооборота на предприятии значительно упрощает процессы и позволяет ускорить их, при этом создает дополнительные риски для ценных данных.

Изучите тему подробнее в нашем материале «Угрозы информационной безопасности».

Чтобы существенно минимизировать влияние таких угроз, требуется направить ресурсы предприятия на организацию системы обеспечения ИБ, а именно:

• использовать только лицензионное ПО, регулярно обновлять его до актуальных версий;
• вести журналы доступа и проводить их регулярный аудит;
• обеспечивать доступы для работников только к тем материалам, которые требуются для выполнения должностных обязанностей;
• ограничивать возможности копирования, распечатки, пересылки по e-mail ИА, содержащих конфиденциальную информацию (можно реализовать с помощью специализированного ПО);
• осуществлять контроль за рабочими станциями сотрудников, имеющими доступ к коммерческим ИА, а также ответственных за их оцифровку.

Ограничивать возможность копирования и разглашения электронной документации, а также осуществлять контроль за сотрудниками можно с помощью DLP-системы SecureTower Falcongaze.

Оформление конфиденциальных документов

Носители конфиденциальной информации должны быть соответствующим образом маркированы. К оформлению грифа предъявляется ряд требований:

• гриф наносят на обложку документа в правом верхнем углу;
• каждый материал должен получить инвентарный номер;
• для учета создается журнал регистрации, куда заносятся инвентарные номера документов и их краткое содержание.

Если секретные документы оформлены в разных филиалах организации, то в каждом из них необходимо организовать специальное хранилище. Также в каждом филиале ведется свой журнал регистрации.

Понятие конфиденциального документа

Конфиденциальный документ — это оформленный определенным образом носитель сведений, доступ к которым должен быть ограничен с целью защиты от несанкционированного доступа, раскрытия или использования третьими лицами.

Секретные документы могут включать в себя различные типы информации, такие как персональные данные, КТ, финансовые отчеты, стратегические планы и другие сведения, которые могут нанести ущерб компании или ее клиентам, если они станут общедоступными.

Согласно Федеральному закону от 29.07.2004 № 98-ФЗ, для защиты конфиденциальных сведений, опубликованных в документах, от утечки и разглашения на предприятии должен быть введен режим коммерческой тайны.

Информационные активы, содержащие охраняемую информацию, подлежат регистрации в журнале учета с грифами.

На заметку!

Безопасность определенного ИА, имеющего гриф конфиденциальности, находится в зоне ответственности специалиста, который получил этот документ под подпись, а также в зоне ответственности его руководителя.

В случае утраты документа с грифом необходимо инициировать служебное расследование. О результатах расследования следует доложить руководству предприятия.

Организация работы с документами, содержащими коммерческую тайну

Руководитель и ответственные сотрудники должны особенно тщательно контролировать хранение документов, включающих КТ, личные данные сотрудников и другую секретную информацию. Как правило, такие материалы активно используются в рутинных рабочих задачах, что повышает риски утечки. Для сокращения рисков нарушения целостности, конфиденциальности и доступности информационных активов важно подойти к вопросу организации работы комплексно, применяя технические и организационные меры.

Технические меры

Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ обязывает предприятия внедрять меры по ограничению доступа к охраняемым сведениям.

Так, для бумажных носителей, содержащих чувствительные сведения, необходимо организовать особый режим хранения. Помещение для документов должно быть отдельным, оборудованным в соответствии с требованиями законодательства. Хранить их следует в металлических шкафах и сейфах.

Также необходимо установить систему видеонаблюдения.

Меры по организации пожарной безопасности строго обязательны, устанавливать нагревательные приборы внутри помещения — запрещено.

Доступ в помещение необходимо ограничить, выдача документов должна осуществляться по внутренним правилам с обязательной регистрацией в журналах учета.

Организационные меры

В нормативно-правовых актах, регулирующих порядок делопроизводства и архивного хранения секретных сведений на электронных носителях, изложены основные принципы:

• использование специальных пометок («секретно», «для служебного пользования», «не для печати» и других);
• обозначение перечня лиц, ответственных за организацию работы с документами;
• внедрение системы доступов для работников к документам в соответствии с должностными инструкциями;
• создание инструкций с конфиденциальными материалами для сотрудников;
• составление списка документов, которые нельзя выносить за периметр организации.

Важно: учет документов с грифами осуществляется в специальных журналах регистрации входящих и исходящих документов, а также в журнале регистрации внутренних документов с грифами. Чаще всего в каких журналах указывают следующую информацию: краткое содержание, номер экземпляра, адресант, подписант, резолюция, номер дела, срок исполнения (при наличии), количество листов, в том числе в приложениях и проч.

Правила простановки грифов конфиденциальности

Гриф конфиденциальности — важный элемент защиты чувствительной информации, позволяющий значительно сократить риски ее утечки или разглашения.

Перед тем как назначить гриф секретности, необходимо:

• инвентаризировать информационные активы предприятия, классифицировать их по степени чувствительности и критичности их потери;
• урегулировать отношения с партнерами и контрагентами в соглашениях о неразглашении.

Назначить гриф можно любому документу, даже не входящему в установленный перечень, если это не противоречит действующему законодательству.

При этом важно понимать: назначение грифов не гарантирует полную информационную безопасность, однако позволяет структурировать систему доступа к чувствительным данным, что, в конечном итоге, минимизирует риски утечки и разглашения.

Снятие грифа секретности

Чтобы перевести документы из категории «конфиденциальные» в «стандартные», руководитель компании должен издать распоряжение. Перед этим необходимо провести ревизию, чтобы определить ценность. По результатам ревизии гриф секретности может быть снят.

Для некоторых документов устанавливается срок секретности. Когда он истекает, коммерческую и иную чувствительную информацию больше не нужно защищать от утечки.

Правила конфиденциального делопроизводства

Конфиденциальное делопроизводство (КД) — это деятельность, связанная с обработкой и защитой коммерческой и иной важной информации в процессе жизненного цикла организации

В зависимости от размера организации и ее структуры, ведение конфиденциального делопроизводства может быть поручено:

• отдельному подразделению;
• секретарю руководителя;
• ответственному исполнителю или группе исполнителей.

Конкретные обязанности и ответственность за ведение КД определяются внутренними нормативными документами организации.

Ведение КД включает в себя следующие процедуры.

1. Классификация документов: разделение на различные категории в зависимости от степени их конфиденциальности (например, «секретно», «для служебного пользования» и т. д.).
2. Ограничение доступа: установление правил и процедур для ограничения доступа только для уполномоченных лиц.
3. Контроль за использованием: отслеживание и контроль за тем, как используется данные внутри организации.
4. Уничтожение и архивация: разработка и соблюдение процедур по уничтожению или архивации по истечении срока актуальности.
5. Шифрование данных: использование методов шифрования для защиты информации при передаче или хранении.
6. Защита от внедрения вредоносного ПО и ограничение доступа: внедрение систем безопасности для предотвращения утечек.
7. Обучение сотрудников: проведение обучения и инструктажа для сотрудников о правилах КД и важности соблюдения этих правил.
8. Мониторинг и аудит: регулярный мониторинг и аудит процессов КД для выявления возможных уязвимостей и улучшения системы защиты.
9. Соблюдение законодательства: следование законодательству и нормативным актам.

Уничтожение документации с грифами ограниченного доступа

Процедура по уничтожению проводится по аналогии с обычными документами, при этом перед уничтожением важно провести сверку записей в акте, чтобы удостовериться в соответствии выделенного перечня с фактическим наличием.

Важно: факт ликвидации должен быть заверен подписями членов экспертной комиссии. По завершении процесса в соответствующих журналах фиксируется акт уничтожения с указанием даты и номера (например: «Уничтожено. Акт от №…»).

Работа исполнителей с конфиденциальными документами

Разрешение на работу с конфиденциальными документами выдается каждому сотруднику в отдельности непосредственно руководителем следующими способами:

• письменно в виде резолюции на бумажных носителях;
• перечнем специалистов с правом доступа (размещается на обложке);
• приказом, регулирующим систему доступов в охраняемым информационным активам предприятия, и проч.

Для минимизации ущерба для предприятия в случае утечки целесообразно делить чувствительные сведения на несколько частей и распределять между сотрудниками. Такой подход значительно снижает ценность информации, ведь разглашение только одной части чувствительных сведений не принесет организации серьезного ущерба — по сравнению с утратой полного документа.

Организация доступов к чувствительным данным для сотрудников

Система доступов к охраняемым сведениям должна носить многоступенчатый характер:

Базовый уровень	Доступы к рабочей станции, оборудованию, серверу.
Средний уровень	Доступы к машинным носителям с охраняемой информацией.
Особые привилегии	Доступы к конфиденциальным сведениям, базам данных и проч.

Организация системы доступов подразумевает обязательное использование паролей, специализированного ПО, шифрования, аппаратных средств и проч.

Циркулирование чувствительных сведений внутри информационной системы предприятия допустимо только через службу КД. Выдача доступов должна осуществляться под подпись с отметкой в учетном журнале. Электронные версии копируются на рабочие станции сотрудников под цифровую подпись в учетном журнале, который хранится на компьютере отдела КД.

Делать копии документов с грифами может только уполномоченное лицо и только при наличии письменного разрешения первого руководителя. Все копии должны быть учтены в журнале регистрации.

По завершении работы с секретным документом необходимо вернуть его в службу КД, где он будет проверен на сохранность, комплектность, целостность информации. Также необходимо проверить, осуществлялись ли попытки несанкционированного копирования, передачи третьим лицам или за периметр безопасности организации.

Внедрение DLP-системы SecureTower Falcongaze значительно упростит контроль за электронным документооборотом, в том числе предупредит офицера безопасности о попытках несанкционированного копирования или передачи чувствительных данных. Попробуйте 30-дневную версию бесплатно!

Если секретный документ на бумажном носителе не был возвращен, были сделаны несанкционированные копии или осуществилась попытка передачи информации третьим лицам, следует незамедлительно оповестить первого руководителя для принятия решения.

Работа службы обеспечения защиты конфиденциальных документов

Служба обеспечения защиты конфиденциальных документов играет ключевую роль в защите КТ и персональных данных, циркулирующих внутри организации. Эта служба занимается разработкой, внедрением и поддержанием мер по обеспечению безопасности информации, а также контролем за их соблюдением.

Основные задачи службы

Классификация информации	Разделение информации на категории в зависимости от степени ее конфиденциальности.
Разработка политики конфиденциальности	Определение правил и процедур обработки, хранения и передачи конфиденциальной информации.
Шифрование данных	Использование криптографических методов для защиты информации от несанкционированного доступа.
Ограничение доступа	Установка систем контроля доступа к конфиденциальным сведениям, носителям информации и помещениям.
Аутентификация и авторизация	Проверка подлинности пользователей и их прав доступа к информации.
Мониторинг и аудит	Регулярный анализ действий пользователей с целью выявления потенциальных угроз безопасности.
Обучение сотрудников	Проведение тренингов и семинаров по вопросам информационной безопасности.
Взаимодействие с правоохранительными органами	Сотрудничество с государственными структурами в случае инцидентов, связанных с утечкой конфиденциальной информации.

Служба обеспечения защиты конфиденциальных документов должна постоянно совершенствовать свои методы работы, чтобы адаптироваться к новым угрозам и обеспечивать высокий уровень безопасности информации в организации.

Условия получения защиты закона для конфиденциальной информации

В Российской Федерации защита охраняемых сведений регулируется Федеральным законом «О коммерческой тайне» и другими нормативными актами. Для получения защиты закона для конфиденциальной информации необходимо выполнить следующие условия:

1. Информация должна иметь коммерческую ценность в силу неизвестности ее третьим лицам.
2. Доступ к этой информации ограничен, при этом ограничение не нарушает действующее законодательство.
3. Собственник секретных данных внедряет меры по обеспечению конфиденциальности и целостности данных.
4. Отношения с работниками в вопросах использования коммерческих сведений регулируется в трудовых договорах и соглашениях, с контрагентами — в гражданско-правовых договорах.

Только при выполнении этих условий на предприятии можно ввести решим коммерческой тайны, а затем — нанести на материальные и электронные носители гриф конфиденциальности с указанием обладателя коммерческой информации.

Если эти условия будут соблюдены, то компания сможет защитить ценную информацию от незаконного использования третьими лицами.

В заключение

В заключение стоит отметить, что грифы секретности играют важную роль в обеспечении информационной безопасности предприятия. Они помогают предотвратить несанкционированный доступ к важным данным, а также обеспечивают соблюдение законодательства о коммерческой тайне. При этом использование грифов секретности должно быть обоснованным и соответствовать законодательству.