В одной из предыдущих публикаций (от 26.09.2020) мы касались вопроса сохранения конфиденциальной информации, в том числе ЭЦП.
Одним из самых проблемных моментов, касающихся данной сферы, на наш взгляд, является отсутствие персональной ответственности работников за сохранность информации и ее носителей.
В частности, анализ типовых инструкций бухгалтеров и главных бухгалтеров позволяет сделать вывод, что сфера информационной безопасности в них вообще не затрагивается. Это, кстати, говорит и об опасности слепого копирования материалов без учета специфики конкретного предприятия.
В инструкциях указывается, что работник (бухгалтер или главный бухгалтер) должен знать, помимо специального законодательства, «законодательство о труде; правила внутреннего трудового распорядка, правила и нормы охраны труда» (пример, формулировки могут отличаться). В лучшем случае к правилам охраны труда добавляются организационно-распорядительные документы предприятия и локальные нормативные акты.
Упоминание необходимости соблюдать правила обращения с ЭЦП (электронная цифровая подпись), исключать доступ к ЭЦП посторонних лиц, вообще нигде не встречаются.
Ответственность сводится, обычно, к следующим пунктам:
- нарушение должностной инструкции, невыполнение функциональных обязанностей;
- невыполнение приказов, распоряжений и поручений непосредственного руководства;
- разглашение сведений, составляющих служебную или коммерческую тайну;
- несоблюдение трудовой дисциплины, нарушение Правил внутреннего трудового распорядка, правил противопожарной безопасности и техники безопасности, установленных на предприятии;
- причинение своими действиями ущерба предприятию.
Также встречаются формулировки:
- несоблюдение требований законодательства, положений внутренних организационно-распорядительных документов, неисполнении распоряжений директора;
- за правонарушения, совершенные в процессе осуществления своей деятельности;
- за злостное, регулярное нарушение установленных на предприятии правил внутреннего распорядка, режима труда и отдыха, дисциплины, а также нарушение любых видов безопасности и пр.регулирующих нормативных актов (формулировка первоисточника сохранена);
- за разглашение конфиденциальных сведений об организации.
Конечно, список примеров не исчерпывающий, но тенденция понятна.
При этом ни одна из приведенных формулировок не позволяет привлечь работника к дисциплинарной ответственности за развешивание паролей или утрату токена с цифровой подписью. Ну, разве что в размере стоимости токена (при условии, что токен передан как материальная ценность по соответствующему акту), что - на фоне хищения, например, фонда заработной платы - обычно крайне незначительно.
Для обеспечения возможности привлечения работника к дисциплинарной ответственности за нарушение правил информационной безопасности на предприятии необходимо выполнение следующих условий:
1. наличие правил информационной безопасности на предприятии (в качестве самостоятельного нормативного локального акта или в составе ПВТР);
2. указание на обязательность соблюдения работником правил информационной безопасности в должностной инструкции или в трудовом договоре (если должностная инструкция отсутствует). Обратите внимание, что такое указание при отсутствии самих правил является неправомерным и может быть трактовано трудовой инспекцией как нарушение прав работника;
3. ознакомление работника с правилами информационной безопасности под роспись в установленном порядке (до заключения трудового договора или до вступления их в действие);
4. создание работодателем условий для выполнения правил. Например, если в правилах указано, что хранение токена осуществляется в сейфе, то работодатель должен обеспечить сейф;
5. указание на ответственность работника за несоблюдение правил информационной безопасности в должностной инструкции или трудовом договоре. Роль данного пункта, в принципе, может выполнять указание на ответственность за невыполнение требований локальных нормативных актов (не путать с организационно-распорядительными документами и нормативными актами).
В заключение хочется обратить внимание еще на один момент: цифровая подпись или пароль – это не служебная и не коммерческая тайна. Поэтому положения о служебной или коммерческой тайне не смогут заменить правила информационной безопасности, как правила охраны труда не могут заменить правила противопожарной безопасности.