Политика конфиденциальности
1. Общие положения
1.1. Настоящая Политика разработана в соответствии с Федеральным законом от 18.12.2006 г. № 230-ФЗ «Гражданский кодекс Российской Федерации» (далее – ГК РФ), Федеральным законом 27.07.2005 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – ФЗ «Об информации»), другими законодательными актами Российской Федерации.
1.2. Настоящая Политика распространяется на конфиденциальной информацию Общества с ограниченной ответственностью «ДИЭНЭЙ» (далее – Общество), а также информацию, составляющую коммерческую тайну, и иную конфиденциальную информацию контрагентов Общества, полученную на сновании договора в объеме и на условиях, которые предусмотрены договором.
1.3. Требования настоящей Политики обязательны для исполнения всеми работниками Общества, имеющими доступ к конфиденциальной информации.
2. Термины и определения
В настоящей Политике используются следующие термины и определения:
информация – сведения (сообщения, данные) независимо от формы их представления.
документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
электронный документ – документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
конфиденциальная информация – информация, доступ к которой ограничивается ее обладателем, за исключением информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (персональные данные граждан, банковская тайна и иная информация).
обладатель конфиденциальной информации – лицо, которое владеет конфиденциальной информацией на законном основании, ограничило доступ к этой информации на законном основании и применяет установленный режим защиты в отношении такой информации.
доступ к конфиденциальной информации – ознакомление определенных лиц с конфиденциальной информацией с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.
передача конфиденциальной информации – передача конфиденциальной информации, зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности.
контрагент – сторона гражданско-правового договора, которой обладатель конфиденциальной информации передал эту информацию.
предоставление конфиденциальной информации – передача конфиденциальной информации, зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.
разглашение конфиденциальной информации – действие или бездействие, в результате которых конфиденциальная информация в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.
3. Режим защиты в отношении конфиденциальной информации
3.1. Общество, как обладатель конфиденциальной информации, вправе ограничивать доступ к такой информации, если это не противоречит законодательству Российской Федерации.
3.2. Меры по охране конфиденциальности информации, указанной в п. 3.1 настоящей Политики, включают:
◦ определение перечня такой информации;
◦ ограничение доступа к такой информации, путем установления порядка обращения с информацией и контроля за соблюдением такого порядка в Обществе;
◦ учет лиц (как собственных работников Общества, так и контрагентов Общества), получивших доступ к такой информации, и (или) лиц, которым такая информация была предоставлена или передана;
◦ регулирование отношений по использованию такой информации работниками Общества на основании трудовых договоров и контрагентами Общества на основании гражданско-правовых договоров;
◦ нанесение на материальные носители, содержащие такую информацию, или включение в состав реквизитов документов, содержащих такую информацию, меток конфиденциальности «Конфиденциально».
4. Определение перечня конфиденциальной информации
4.1. Право на отнесение сведений любого характера (производственных, технических, экономических, организационных и других), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведений о способах осуществления профессиональной деятельности к информации, составляющей коммерческую тайну, и иной конфиденциальной информации, которой Общество владеет на законном основании, и на определение перечня и состава такой информации принадлежит Обществу.
4.2. Исключительное право на конфиденциальную информация, созданную работниками Общества в процессе выполнения своих трудовых (должностных) обязанностей или конкретного задания, полученного от Общества, принадлежит Обществу.
4.3. Информация, составляющая коммерческую тайну, и иная конфиденциальная информация, полученная от ее обладателя на основании договора или в соответствии с другим законным основанием, считается полученной законным способом.
4.4. Перечень конфиденциальной информации Общества (далее – Перечень) формируется и утверждается Генеральным директором Общества.
4.5. К конфиденциальной информации Общества, подлежащей включению в Перечень, относится:
◦ любая информация, составляющая коммерческую тайну контрагентов Общества, и предоставляемая Обществу в письменной форме, модели или иной вещественной форме, которая в момент передачи помечена или иным образом идентифицирована как конфиденциальная;
◦ информация, предоставляемая устно, о конфиденциальной природе которой уведомили Общество, либо природа конфиденциальности такой информации следует из ее содержания, а также записи такой информации;
◦ любые данные, полученные или разработанные Обществом с помощью конфиденциальной информации;
◦ копии любых документов в бумажном или электронном виде, содержащих конфиденциальную информацию;
◦ сведения о контрагентах Общества, условиях договоров, содержании переговоров.
5. Установление порядка обращения с конфиденциальной информации
5.1. Особый порядок обращения с конфиденциальной информацией, устанавливается посредством:
◦ определения условий и порядка доступа работников Общества к конфиденциальной информации;
◦ присвоения и снятия меток конфиденциальности «Конфиденциально»;
◦ определения правил работы с документами, содержащими конфиденциальную информацию;
◦ определения порядка проведения совещаний и переговоров;
◦ установления порядка проведения аудио- и видеозаписи, кино- и фотосъемок;
◦ предотвращения открытого опубликования конфиденциальной информации в средствах массовой информации и иных общедоступных источниках информации.
5.2. Определение условий и порядка доступа работников Общества к конфиденциальной информации включает следующие шаги:
5.2.1. Со всеми работниками Общества, в том числе с физическими лицами, привлекаемыми по договорам гражданско-правового характера, заключаются Соглашения о конфиденциальности и неразглашении информации.
5.2.2. Доступ работника Общества к конфиденциальной информации, осуществляется после проведения мероприятий, изложенных в п. 6.1 настоящей Политики.
5.2.3. Доступ работника Общества к конфиденциальной информации Общества и его контрагентов, прекращается по решению Генерального директора Общества, в случаях:
◦ нарушения работником Общества установленного режима защиты в отношении конфиденциальной информации;
◦ привлечения работника Общества к уголовной ответственности;
◦ предоставления работником Общества подложных документов или заведомо ложных сведений при заключении трудового или гражданско-правового договора;
◦ освобождения работника Общества от занимаемой должности.
5.2.4. Прекращение доступа к конфиденциальной информации не освобождает работника Общества от взятых им обязательств по неразглашению указанных сведений.
5.2.5. Работники допускаются к конфиденциальной информации в объеме, необходимом для выполнения ими своих должностных обязанностей.
5.2.6. Доступ работников Общества к конфиденциальной информации контрагентов, осуществляется на основании решения Генерального директора Общества и Руководителя проекта, в объеме, необходимом для выполнения ими порученной работы. При этом работники должны быть ознакомлены с Соглашением о конфиденциальности, заключенным между Обществом и контрагентом в соответствии с разделом 6 настоящей Политики. Ответственным за ознакомление является Руководитель проекта.
5.3. Присвоение и снятие меток конфиденциальности «Конфиденциально» осуществляется следующим образом:
5.3.1. Документ, содержаний конфиденциальную информацию должен иметь соответствующие отличительные реквизиты.
5.3.2. Для документа, содержащего конфиденциальную информацию, такими реквизитами являются метка «Конфиденциально», отметка о количестве экземпляров, номер экземпляра, учетный номер, Ф.И.О. исполнителя, № телефона, дата разработки.
5.3.3. Основанием для присвоения метки конфиденциальности разрабатываемому документу является включение в него информации, указанной в Перечне. Метки конфиденциальности присваиваются также выпискам из документов, содержащих конфиденциальную информацию соответственно, если в выписке содержится такая информация.
5.3.4. Снятие метки конфиденциальности с документов осуществляется:
◦ по истечении указанного в Перечне срока действия режима ограничения доступа в отношении информации, содержащейся в документе;
◦ в связи с исключением информации из Перечня.
5.4. Определение правил работы с документами, конфиденциальную информацию, заключается в следующем:
5.4.1. Документы, содержащие:
◦ конфиденциальную информацию и имеющие метку «Конфиденциально», в нерабочее время должны храниться в запираемых ящиках или шкафах для хранения документов в помещениях, в которых непосредственно осуществляется обработка указанной информации (рабочие помещения), или в специальных помещениях, предназначенных для хранения документированной информации;
◦ конфиденциальную информацию и имеющие метку «Конфиденциально», в электронном виде должны храниться в отдельных информационных системах и/или хранилищах данных Общества с применением организационных и технических мер по защите информации.
5.4.2. Передача документов, содержащих конфиденциальную информацию по незащищенным каналам связи (с использованием факсимильной связи, сетей Интернет) запрещается, если меры, указанные в разделе 10 настоящей Политики, по охране конфиденциальности информации не приняты.
5.4.3. Обучение работников Общества правилам обращения с конфиденциальной информацией проводится путем:
◦ проведения Техническим директором инструктажей и практических занятий с работниками, принимаемыми на работу в Общество;
◦ самостоятельного изучения работниками внутренних нормативных документов Общества, регламентирующих вопросы защиты информации.
5.5. Обеспечение конфиденциальности информации при проведении совещаний и переговоров достигается за счет выполнения ряда следующих действий:
5.5.1. На совещания и переговоры, в ходе которых предусматривается обсуждение вопросов с использованием конфиденциальной информации Общества и/или его контрагентов, приглашаются только лица, имеющие доступ к данной информации.
5.5.2. Приглашение представителей контрагентов Общества на указанные заседания (совещания, переговоры) допускается при условии предварительного заключения с контрагентами Соглашения о конфиденциальности и неразглашении информации (или иного аналогичного договора/соглашения).
5.5.3. Участникам заседания (совещания, переговоров) запрещается вносить в помещение, в котором проводятся указанные мероприятия, и использовать средства видео- и аудиозаписи.
5.5.4. При проведении заседания (совещания, переговоров) в формате аудио-или видеоконференции запрещается осуществлять запись конференции без предварительного согласия всех участвующих сторон. В случае осуществления записи, результаты считаются конфиденциальной информацией.
5.5.5. Заседания (совещания, переговоры) проводятся в специально отведенных для этого помещениях, исключающих возможность несанкционированного проникновения и бесконтрольного пребывания в них посторонних лиц.
5.5.6. При проведении заседания (совещания, переговоров) в формате аудио-или видеоконференции контроль отсутствия посторонних лиц в помещении каждого участника является обязанностью соответствующего участника переговоров.
5.6. Предотвращение открытого опубликования конфиденциальной информации в средствах массовой информации и иных общедоступных источниках осуществляется следующим образом:
5.6.1. Информационные материалы, подготовленные для опубликования в периодических печатных изданиях, радио, теле-, видеопрограммах, в том числе в сетях Интернет (далее – СМИ), или для проведения конференций, научно-технических советов, выставок, ярмарок, размещения в корпоративных изданиях, использования в информационно-рекламной продукции и иных формах публичного представления информации, не должны содержать информацию, составляющую коммерческую тайну, и иную конфиденциальную информацию Общества и/или его контрагентов.
6. Использование конфиденциальной информации работниками Общества
6.1. При назначении работника на должность с ним заключается Соглашение о конфиденциальности и неразглашении информации, а также осуществляется ознакомление указанного работника с:
◦ Перечнем конфиденциальной информации Общества;
◦ Политикой информационной безопасности Общества;
◦ Соглашениями о конфиденциальности (или аналогичными документами) с контрагентами Общества (при необходимости).
6.2. Должностные инструкции работников, имеющих доступ к конфиденциальной информации, должны содержать положения, регулирующие права работника по использованию указанной информации и устанавливающие обязанности по соблюдению режима защиты в отношении конфиденциальной информации.
6.3. Доступ работника к конфиденциальной информации осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.
6.4. В трудовые договоры со всеми работниками включается пункт о соблюдении конфиденциальности информации и об ответственности за разглашение информации, составляющей коммерческую тайну, и иной конфиденциальной информации, ставшей им известной в процессе выполнения ими должностных обязанностей.
6.5. Работники, получившие доступ к задокументированной конфиденциальной информации обязаны:
◦ знать и выполнять требования настоящей Политики, а также внутренних нормативных документов Общества, регламентирующих вопросы защиты информации;
◦ не разглашать ставшую им известной информацию, составляющую коммерческую тайну, и иную конфиденциальную информацию, информировать Руководителя проекта и Генерального директора о фактах нарушения порядка обращения с данной категорией информации и о попытках несанкционированного доступа к ней;
◦ соблюдать правила обращения с документами, содержащими конфиденциальную информацию;
◦ при разработке документов, содержащих конфиденциальную информацию, ограничиваться минимально необходимым объемом такой информации, включаемой в документы, присваивать таким документам метки конфиденциальности, определять необходимое количество экземпляров;
◦ соблюдать условия хранения конфиденциальной информации (п. 5.4.1 настоящего Положения);
◦ об утрате или недостаче документов, содержащих конфиденциальную информацию, немедленно сообщать Руководителю проекта и Генеральному директору;
◦ во время работы с документами, содержащими конфиденциальную информацию, исключать возможность ознакомления с ними лиц, не имеющих доступа к указанной информации;
◦ представлять по требованию Генерального директора, устные или письменные объяснения о нарушениях реализованного режима защиты в отношении конфиденциальной информации, а также о фактах разглашения информации, составляющей коммерческую тайну, и иной конфиденциальной информации или утраты документов, содержащих такую информацию.
6.6. Работникам, допущенным к конфиденциальной информации запрещается:
◦ использовать информацию, составляющую коммерческую тайну, и иную конфиденциальную информацию Общества или его контрагентов, при занятии другой деятельностью, в том числе при работе в иных организациях, а также в научной и педагогической деятельности, в том числе в личных целях;
◦ использовать конфиденциальную информацию в публичных выступлениях, либо ссылаться на нее в СМИ;
◦ передавать конфиденциальную информацию по незащищенным каналам связи (с использованием факсимильной связи, сетей Интернет), если меры защиты конфиденциальности информации, указанные в разделе 10 настоящей Политики, не приняты.
7. Использованию конфиденциальной информации контрагентов Общества
7.1. До начала переговоров по заключению договоров между контрагентами и Обществом, в ходе которых будет осуществляться обмен конфиденциальной информацией, заключаются Соглашения о конфиденциальности и неразглашении информации.
7.2. Получая от контрагентов конфиденциальную информацию, Общество руководствуется требованиями соответствующего Соглашения о конфиденциальности и неразглашении информации (или аналогичного документа).
8. Контроль за соблюдением мер конфиденциальности информации
8.1. Контроль за соблюдением режима защиты в отношении конфиденциальной информации в Обществе осуществляется с целью определения соответствия принятых мер по защите конфиденциальной информации положениям, описанным во внутренних нормативных документах Общества, регламентирующих вопросы защиты информации, выявления возможных каналов утечки и несанкционированного доступа к данной информации и принятию мер по их пресечению.
8.2. Контроль осуществляет Технический директор путем проведения плановых проверок.
8.3. В ходе проверки проводится:
◦ анализ состояния защищенности информационных систем, подготовка предложений по совершенствованию их защиты;
◦ выявление каналов утечки информации и несанкционированного доступа к информации;
◦ анализ причин нарушений и недостатков деятельности по обеспечению защиты информации, разработка рекомендаций по устранению таких недостатков.
8.4. При выявлении факта разглашения конфиденциальной информации или утраты документов, иных носителей такой информации, в Обществе проводится служебное расследование.
8.5. В ходе служебного расследования устанавливаются:
◦ обстоятельства разглашения конфиденциальной информации, утраты документа или иного носителя такой информации;
◦ лица, виновные в разглашении конфиденциальной информации или утрате документа, иного носителя такой информации;
◦ причины и условия, способствующие разглашению ин конфиденциальной информации, утрате документа, иного носителя такой информации.
9. Технические меры обеспечения конфиденциальности информации
9.1. С целью обеспечения защиты конфиденциальной информации Общество принимает организационные и технические меры в соответствии с методическими документами и отраслевыми стандартами, действующими на территории Российской Федерации, а также внутренними документами Общества по информационной безопасности.
9.2. Меры по охране конфиденциальности информации признаются разумно достаточными, если:
◦ исключается доступ к конфиденциальной информации любых лиц без согласия ее обладателя;
◦ обеспечивается возможность использования конфиденциальной информации работниками Общества и передачи ее контрагентам Общества без нарушения реализованных мер защиты информации.
10. Предоставление информации органам государственной власти, иным государственным органам и органам местного самоуправления
10.1. Конфиденциальная информация в обязательном порядке предоставляется судам, органам прокуратуры, органам предварительного следствия, органам дознания по делам, находящимся в их производстве, по их запросу в порядке и на основаниях, которые предусмотрены законодательством Российской Федерации.
10.2. Выемка документов может производиться следователями в связи с возбуждением уголовного дела, а работниками налоговых органов в ходе выездных налоговых проверок. Документы, содержащие информацию, составляющую коммерческую тайну, и иную конфиденциальную информацию Общества и его контрагентов, подлежащие выемке, должны быть промаркированы и переданы представителю соответствующего органа с оформлением сопроводительных документов, позволяющих однозначно подтвердить факт передачи и получения документа.
11. Ответственность за нарушения
11.1. Работник Общества, за нарушение установленного в Обществе режима защиты конфиденциальной информации, несет:
◦ гражданско-правовую ответственность в соответствии с условиями заключенного Соглашения о конфиденциальности и неразглашении информации;
◦ дисциплинарную ответственность в виде замечания, выговора, увольнения.
11.2. Общество и его контрагент за разглашение конфиденциальной информации несут гражданско-правовую ответственность в соответствии с условиями договора сотрудничества и Соглашения о неразглашении конфиденциальной информации.