Приложение 1
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по организации работы с документированной информацией ограниченного доступа (ДИОД)
1. Общие положения
1.1. Настоящие методические рекомендации разработаны на основании Гражданского кодекса Российской Федерации (ст. 139); Закона Российской Федерации "О государственной тайне" от 21 июля 1993 г. № 5485-1; Федерального закона "Об информатиза ции, информации и защите информации" от 20 февраля 1995 г. № 24- ФЗ; Указа Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера"; Постановления Правительства Российской Федерации от 5 декабря 1991 г. № 35 "О перечне сведений, которые не могут составлять коммерческую тайну"; Постановления Правительства Правительства Российской Федерации от 3 ноября 1994 г. № 1233 чО§ утверждении Положения о порядке обращения со служебной информацией ограниченного распространйня в федеральных ррга- на исполнительной власти".
1.2.Методические рекомендации определяют порядок, обращения с документами и другими материальными носителями информации (фото-, кино-, видео- и аудио пленками, магнитными носителями информации и др.) (далее — документами), содержащими информа цию ограниченного доступа, для всех подразделений организации.
1.3.В настоящих Методических рекомендациях используются следующие основные понятия:
конфиденциальная информация — защищаемая государством документированная информация ограниченного доступа (ДИОД) в области: персональных данных о должностных лицах и гражданах Российской Федерации; следствия и судопроизводства; служебной, профессиональной, коммерческой деятельности; сущности изобретения, полезной модели, промышленного образца, распространение которой может принести ущерб Российской Федерации, органам государственной власти, организациям, должностными лицами и гражданам Российской Федерации;
служебная информация ограниченного распространения федеральных органов исполнительной власти определена как конфиденциальная информация и как информация "Для служебного пользования" (ДСП);
носители конфиденциальной информации — материальные объекты на бумажном носителе, в том числе физические поля, в которых информация находит свое отображение в виде символов, образов, сигналов технических решений и процессов;
конфиденциальность информации — ограничение на доступ и распространение информации;
допуск к конфиденциальной информации — процедура оформления права граждан на доступ к этой информации, а организаций на проведение работ с ее использованием;
доступ к конфиденциальной информации — санкционированное полномочным должностным лицом ознакомление конкретного лица с конфиденциальной информацией;
степень конфиденциальности информации — степень ограничения доступа к конфиденциальной информации;
гриф конфиденциальности информации — реквизиты, свидетельствующие о степени конфиденциальности информации, содержащейся на ее носителе, представляемом на самом носителе и (или) в сопроводительной документации на него (в отдельных случаях гриф конфиденциальности информации не проставляется);
система зашиты конфиденциальной информации — совокупность органов защиты и организаций, используемых ими средств и методов защиты данной информации, и ее носителей, а также мероприятий, проводимых в этих целях;
средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты конфиденциальной информации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации;
перечень информации конфиденциального характера -"совокупность категорий информации, в соответствии с которыми ее относят к конфиденциальной и ограничивают доступ к ней на основаниях и в порядке, установленных федеральным законодательством.
1.4.Права доступа к ДИОД разграничиваются на основе предо ставления различных полномочий должностным лицам организа ции на различных участках технологии документооборота организа ции — по приему и отправке, ознакомлению, регистрации, учету, исполнению, ведению баз данных, редактированию, снятию с конт роля, списанию в дело, хранению, использованию и уничтожению.
1.5.Руководство организации в пределах своей компетенции определяет:
категории должностных лиц, уполномоченных относить ДИОД к разряду ограниченного доступа;
круг должностных лиц, имеющих доступ к различным степеням допуска ДИОД;
порядок снятия грифа ограничения доступа к ДИОД; организацию защиты ДИОД.
Должностные лица организации, принявшие решение об отнесении документов и информации к ДИОД, несут персональную ответственность за обоснованность принятого решения и за соблюдения ограничений.
М>- ДИОД без санкции соответствующего должностного лица организации, установившего режим ограничения не подлежит разглашению (распространению).
За нарушение режима секретности по ДИОД, нарушение основных положений работы с ДИОД, утрату и незаконное уничтожение ДИОД, за разглашение сведений ДИОД виновные лица, сотрудники организации к дисциплинарной или иной предусмотренной законодательством ответственности.
1.7. Контроль за осуществлением требований работы с ДИОД возлагается на службу открытого делопроизводства или службы ДИОД и сотрудников структурных подразделений организации, отвечающих за ведение делопроизводства и ДИОД.
Контроль за требованиями работы с кадровой документацией (персональные данные), являющейся конфиденциальной информацией, возлагается на Отдел кадров (Управление кадров и госслужбы, Главное управление кадров и т.п., далее — Отдел кадров).
1.8. Правила работы с базами данных и автоматизированными информационно-поисковыми системами (АИПС) ограниченного доступа определяются техническими средствами, программным обеспечением и специальными технологическими инструкциями: Руководство пользователя; Правила организации ведения баз дан ных и двтоматизированных ИПС; система паролей; правила пользо вания электронной почтой и т.д.
Доступ к базам данных автоматизированных систем, содержащих информацию ограниченного доступа, имеют должностные лица в соответствии с утвержденными списками.
1.9. Для сотрудников, не входящих в список рассылки докумен тов ДИОД, а также не входящих в список сотрудников, имеющих доступ К базам данных, снятие копий, а также выписки из ДИОД, доступ к базам данных производится по разрешению должностных лиц, подписавших ДИОД, также руководителя службы открытого делопроизводства, его заместителя, ответственного за организацию работы с ДИОД, либо руководителя службы ДИОД (название служ бы может быть и другое) и его заместителей.
2. Порядок использования грифа ограничения доступа на документах. Степени доступа к документам
2.1. Гриф ограничения доступа к документу или гриф доступа (конфиденциальности) представляет собой служебную отметку (рек визит), которая проставляется на носителе информации или со проводительном документе к нему. Определение необходимости проставления грифа степени ограничения доступа на документах осуществляется исполнителем и лицом, подписывающим документ, а на издании — автором (составителем) и руководителем, утверж дающим издание к печати.
Документы и информация, отнесенные к профессиональной тайне (например, врачебной тайне, кадровой документации), как правило, грифа ограничения доступа не имеют, потому что в полном объеме являются конфиденциальными.
2.2. Гриф ограничения доступа (конфиденциальности) присваи вается документу:
исполнителем на стадии подготовки документа;
руководителем структурного подразделения или руководителем организации иа стадии согласования- или подписания документа;
адресатом получателем) документа на стадии его первичной обработки в сяужбе ДИОД.
2.3. Изменение грифа доступа документа (конфиденциальнос ти)производится при изменении степени конфиденциальности содержащихся в нем сведений. Основанием для изменения или снятия грифа являются:
соответствующая корректировка перечней ДИОД; .. истечение установленного срока действия грифа; . наличие события, при котором гриф должен быть изменен или снят (например, окончание действия договора).
2.4. Устанавливается четыре степени конфиденциальности инфор мации: "особо конфиденциально", "совершенно конфиденциально", "конфиденциально", а также для для служебной информации огра ниченного распространения федеральных органов исполнительной власти "для служебного пользования", и соответствующие этим сте пеням грифы конфиденциальности документов.
Использование перечисленных грифов для ограничения доступа и распространения информации, не относящейся к конфиденциальной, не допускается.
2.5. На документах, делах, изданиях, а также других носителях информации наносится гриф конфиденциальности информации, включающей следующие реквизиты;
степени конфиденциальности информации, со ссылкой на соответствующий пункт действующего в организации перечня информации конфиденциального характера;
при необходимости отметки:
об организации, осуществившей ограничение доступа к конфиденциальной информации;
о регистрационном номере;
о дате или условии снятия степени конфиденциальности информации, либо о событии, после наступления которого с информации будет снято ограничение доступа.