Документирование конфиденциальной информации. Определение состава конфиденциальных документов

Документы, содержащие защищаемые сведения, которые не составляют государственную тайну (служебную, коммерческую, банковскую и т. д.), или содержат персональные данные, или составляют интеллектуальную собственность юридического или физического лица именуются конфиденциальными. Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите.

К конфиденциальным документам относятся следующие документы:

1) в государственных организациях – документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения, содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати;

2) в коммерческих и негосударственных организациях – документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой тайне, тайне организации, тайне мастерства и технологий;

3) независимо от принадлежности организации – документы и базы данных, фиксирующие любые персональные (личные) данные о гражданах, а также содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т. д.

Особенностью конфиденциальных документов является то, что они одновременно представляют собой:

1) массовый носитель ценной, защищаемой информации;

2) основной источник накопления и распространения этой информации, а также ее неправомерного разглашения или утечки;

3) обязательный объект защиты.

Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала организации. Период конфиденциальности документов определяют перечни конфиденциальных сведений организации, составленных исходя из специфики деятельности и утвержденных руководителем организации.

Документирование конфиденциальной информации включает определение состава внутренних и отправляемых документов и их изготовление.

Документирование конфиденциальной информации является важнейшей составной частью конфиденциального делопроизводства, поскольку от количества, состава и правильности оформления документов зависят качество и эффективность управленческой и производственной деятельности, достоверность и юридическая сила документов, трудоемкость их обработки и качество организации. Объем и характер создаваемых документов влияют и на организацию работы по их защите. Кроме того, в процессе документирования создается документальная база, раскрывающая историю организации.

Как определить состав конфиденциальных документов?

Одной из особенностей конфиденциального делопроизводства является жесткое регламентирование состава издаваемых документов. Обусловлено это тем, что документ является потенциально существующим источником утечки содержащейся в нем информации, т.е. попадания ее в руки тех, кому она не предназначена. Поэтому конфиденциальные документы должны издаваться только при действительной необходимости в письменном удостоверении наличия и содержания управленческих, производственных и иных действий. При этом решение задач конфиденциальной деятельности должно обеспечиваться минимальным количеством документов при сохранении полноты необходимой информации.

Но установление состава издаваемых конфиденциальных документов направлено не только на предотвращение необоснованного их издания и на исключение избыточной конфиденциальной информации, но определение количества их экземпляров, адресатов, которым они должны направляться, т.к. не вызванная действительной необходимостью рассылка конфиденциальных документов также приводит к утечке информации. На стадии определения состава издаваемых документов решается вопрос и о придании им необходимой юридической силы путем установления должностных лиц, которые должны визировать, подписывать и утверждать тот или другой документ. В конечном итоге регламентация состава издаваемых конфиденциальных документов преследует цель не только исключения необоснованного, но и неконтролируемого их издания.

Состав документированной конфиденциальной информации зависит от компетенции и функции организации, характера её деятельности, взаимосвязей с другими предприятиями, порядка разрешения вопросов. Такой состав закрепляется перечнями издаваемых организацией конфиденциальных документов, раздельно по документам, отнесенным к коммерческой тайне, и документам, отнесенным к служебной тайне. Но эти перечни должны разрабатываться на основе и в рамках перечней сведений, составляющих коммерческую и служебную тайну. Вызвано это тем, что по существующим нормам сначала определяются сведения, составляющие тот или другой вид тайны. Эти сведения могут быть зафиксированы как в документах, так и в других носителях: электронной базе данных (на ПЭВМ), выпускаемой продукции, технологических процессах, физических полях и др. Поэтому только после определения состава всех конфиденциальных сведений можно установить те из них, которые должны документироваться. Таким образом, определение состава издаваемых конфиденциальных документов должно начинаться с разработки перечней сведений, составляющих коммерческую и служебную тайну.

Перечень сведений, составляющих коммерческую тайну, разрабатывается для каждой организации самой организацией - обладателем информации. Это вытекает из действующего законодательства, которым установлено, что состав и объем таких сведений определяется собственником информации. Таким образом, право предпринимателя на состав коммерческой тайны является безусловным. Никто не может диктовать ему, какие сведения отно­сить к коммерческой тайне, за исключением сведений, которые не могут составлять коммерческую тайну согласно государственным нормативным актам.

Следовательно, состав сведений, относимых к коммерческой тайне, должен устанавливаться и изменяться индивидуально, на уровне их обладателя.

В целом тенденция развития коммерческой тайны направлена на сохранение значения производственной тайны, связанной с новизной и совершенствованием технологических процессов, т.е. с элементами творческой деятельности, и на падение значения тайны финансово-торговой, связанной не с элементами новизны, а с элементами индивидуальности и большей или меньшей степенью исключительности.

Правовым основанием для установления состава сведений, относимых к коммерческой тайне, являются закон, а также определение понятия «коммерческая тайна», которыми предусмотрено, что сведения, составляющие коммерческую тайну, могут быть в любой сфере предпринимательской деятельности, следовательно, коммерческая тайна может распространяться на все направления и вид деятельности организации. Разработкой перечня сведений, составляющих коммерческую тайну, в организации должна заниматься постоянно действующая экспертная комиссия (ПДЭК).

На первом этапе работы на основе анализа задач, функций, компетенции, направлений деятельности организации необходимо установить вес состав циркулирующей в организации информации, отображенной любом носителе, любым способом и в любом виде, а также с учетом перспектив развития организации и её взаимоотношений с партнерами определить характер дополнительной информации, которая может возникнуть в результате деятельности организации. Эта информация классифицируется по тематическому признаку.

На втором этапе определяется, какая из установленной информации должна быть конфиденциальной и отнесена к коммерческой тайне. Базовым критерием при этом является возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам. Этот критерий имеет как бы две составляющие: неизвестности информации третьим лицам и получение преимуществ в силу этой неизвестности. Данные составляющие взаимосвязаны и взаимообусловлены, поскольку, с одной стороны, неизвестность информации третьим лицам сама по себе ничего не значит, если не обеспечивает преимуществ с другой - преимущества можно получить только за счет такой неизвестности. Конфиденциальность является правовой формой и одновременно инструментом обеспечения неизвестности информации.

Преимущества от использования информации, не известной третьим лицам, могут состоять в получении выгоды или предотвращении ущерба иметь, в зависимости от областей и видов деятельности, экономические, моральные и другие характеристики, выражаться количественными и качественными показателями.

В сфере коммерческой деятельности ценность информации обусловлена прежде всего рыночной потребностью в информации как источнике получения прибыли, поэтому отнесение информации к коммерческой тайне позволяет получить прибыль и предотвратить убытки. Конфиденциальность такой информации создает для ее обладателя преимущества в конкурентной борьбе и выступает как средство защиты от не добросовестной конкуренции.

Названный критерий является объективным показателем возможности отнесения информации к коммерческой тайне, мерилом придания информации статуса конфиденциальной. Это означает, что при отсутствии данного критерия нет оснований для перевода информации в категорию конфиденциальной. Но это не означает, что при его наличии информация во всех случаях может и должна быть отнесена к коммерческой тайне. Законодательством введены два ограничения на отнесение информации к коммерческой тайне.

К коммерческой тайне не может быть отнесена информация, составляющая государственную тайну, и информация, которая должна быть общедоступной в целях предупреждения сокрытия правонарушений и предотвращения нанесения ущерба законным интересам государства, физических или юридических лиц. Перечни такой информации содержатся в нескольких нормативных актах: федеральном законе Российской Федерации от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (далее по тексту – Закон «О коммерческой тайне»), постановлении Правительства РСФСР от 05.12.1991 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» и др. Эти перечни в значительной мере дублируют друг друга и имеют различную правовую основу. Запрещение относить к коммерческой тайне ту или иную информацию не означает, что всю ее может получить по требованию любое юридическое или физическое лицо. Часть ее, затрагивающая законные интересы этих лиц, безусловно, должна им предоставляться, а часть предоставляется лишь соответствующим орга­нам власти, наделенным законодательством правом контроля такой информации.

Должно быть и третье ограничение, которое хотя и не предусмотрено законодательством, но диктуется здравым смыслом. Оно состоит в том, что при переводе информации в разряд коммерческой тайны необходимо учитывать сопутствующие этому затраты на ее защиту. Если эти затраты превышают достигаемые в результате защиты количественные и качественные показатели, то придание информации статуса конфиденциальной теряет всякий смысл.

После установления состава конфиденциальной информации определяется степень ее конфиденциальности. Степень конфиденциальности - это показатель уровня закрытости информации. Уровень закрытости зависит от величины ущерба, который может наступить при утечке информации. Чем больше этот ущерб, тем выше должна быть и степень конфиденциальности. В практике работы организаций применяются от одной до нескольких степеней конфиденциальности информации с различными их наименованиями. Наиболее распространенным является деление информации на две степени: конфиденциально и строго конфиденциально. Однако Законом «О коммерческой тайне» установлена одна степень конфиденциальности с названием «Коммерческая тайна», свидетельствующая лишь о принадлежности информации к коммерческой тайне. В Законе это названо не степенью, а грифом коммерческой тайны, но суть дела от этого не меняется, поскольку, по определению, гриф конфиденциальности - это реквизит, свидетельствующий о степени конфиденциальности сведений, содержащихся в их носителе, проставляемый на самомносителе и (или) в сопроводительной документации на него. Наименование грифа должно соответствовать наименованию степени конфиденциальности.

Установление одной степени (одного грифа) конфиденциальности информации, составляющей коммерческую тайну, обусловлено, вероятно, тем, что степень конфиденциальности определя­ется собственниками информации, которые могут иметь (а зачастую так и бывает) разные подходы к степени конфиденциальности однотипной по содержательной чести информации. В этом случае при рассмотрении в судебном порядке дел о неправомерном получении коммерческой тайны сложно определить, кто из собственни­ков установил правильную степень конфиденциальности информации, т.к. критерии отнесения информации к той или другой степени конфиденциальности выбирает ее собственник.

При существенном изменении состава сведений перечень должен составляться заново. Об изменениях в составе коммерческой тай­ны обладатель информации обязан в письменной форме известить конфидентов данной информации.

Перечень сведений, составляющих коммерческую  тайну, раскрывает тематическое содержание включенных в него сведений. Но эти сведения, как уже отмечалось, фиксируются в различном виде на различных носителях и могут быть как документированными, так и недокументированными.

В сферу конфиденциального делопроизводства входит только документированная информация (документы), поэтому из всей совокупности информации, включенной в перечень сведений, отнесенных к коммерческой тайне, нужно выделить состав документируемой информации и установить виды документов, в которых она должна быть зафиксирована. Определение состава конфиденциальных документов должно осуществляться также ПДЭК. При этом следует руководствоваться определенными критериями документирования информации.       К ним относятся:

  • необходимость документированной информации для правового обеспечения деятельности организации, регламентирующей статус организации, права, обязанности и ответственность её работников;
  • необходимость документированной информации для производственной деятельности: научно-исследовательской, конструкторской, проектной, технологической и др.;
  • необходимость документированной информации для управленческой деятельности;
  • необходимость документированной информации как доказательного источника на случаи возникновения конфликтных ситуаций;
  • необходимость передачи информации в официальном виде;
  • важность информации как исторического источника, раскрывающего направления и особенности деятельности организации.

Дополнения и изменения состава включенных в перечень сведений, а также изменение их степени их конфиденциальности могут осуществляться с разрешения руководителя организации и вноситься в перечень за подписями руководителя подразделения по принадлежности сведений и руководителя службы безопасности.

В рамках критериев документирования определение состава документируемой информации должно увязываться с решением конкретных задач. В зависимости от назначения документируемой информации определяются конкретные виды документов, в которых эта информация должна быть зафиксирована.

В процессе определения необходимых конфиденциальных документов следует проводить работу по сокращению их количества за счет разработки интегральных документов, в которые можно включить показатели нескольких документов, в том числе путем замены разовых первичных документов накопительными. Однако объединение документов осуществляться с таким расчетом, чтобы в итоге не создавалась возможность необоснованного ознакомления со всем документом лиц имеющих доступ только к части содержания (показателей) документа.

Виды конфиденциальных документов необходимо устанавливать с учетом оптимального объема содержащейся в них информации, исключающего избыточную, в том числе дублетную информацию, поскольку избыточная информация - это конфиденциальные данные, утечка которых может нанести ущерб организации.

После установления состава документов определяются круг лиц, имеющих право составлять, визировать и подписывать (утверждать) тот или другой вид документа, а также организации, которым данный документ должен направляться.

Проверить свои знания в области законодательства о персональных данных Вы можете в уникальном сервисе тестирования. Тест на знание нормативных актов, регулирующих обработку персональных данных, является бесплатным и не имеет аналогов.

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.