Регламентация государственной тайны в трудовых отношениях осуществляется с помощью:

• Конституции Российской Федерации;
• Федеральных законов (в том числе Кодексов);
• подзаконных правовых актов;
• локальных нормативных актов.

Конституция Российской Федерации

Конституция Российской Федерации [1] устанавливает общее право гражданина на труд,  на свободное реализацию своих способностей к труду и на достойные условия труда, отвечающие правилам безопасности и гигиены (ст. 37).

Как нам уже известно, наличие допуска работника к государственной тайне накладывает на него ряд дополнительных обязательств, порождающих возможные ограничения его конституционных прав. Исходя из Конституции, «права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства» (ст. 55).

Конституция так же закрепляет правило, исходя из которого нормативные правовые акты, затрагивающие права, свободы и обязанности гражданина, не могут применяться, если они не опубликованы для всеобщего сведения (ч. 3 ст. 15). Данное требование применимо ко всем без исключения нормативным актам, направленным на регламентацию вопросов использования сведений, составляющих государственную тайну, в процессе осуществления трудовой деятельности. В частности, локальные акты, в том числе приказы работодателя, имеющие нормативный характер, должны быть доведены до сведения работников организации. До момента ознакомления работников с ними они не должны применяться.

Представителям работодателя запрещено скрывать факты и обстоятельства, создающие угрозу для жизни и здоровья людей (ч. 3 ст. 41). Нарушение режима работы со сведениями, составляющими государственную тайну, их незаконное распространение и передача третьим лицам уголовно наказуемо, вследствие чего, может быть ограничена свобода гражданина и нанесен ущерб его социальной жизни. Сокрытие работодателем информации, о том, что предполагаемая должность работника связанна с использованием сведений, составляющих государственную тайну, запрещено.

Федеральные законы и кодексы Российской федерации

Федеральный закон «О государственной тайне» [2] является основополагающим нормативным документом в отношении регулирования вопросов связанных с использованием сведений, составляющих государственную тайну:

• регламентируется порядок доступа нанимаемого работника к государственной тайне (ст. 21);
• устанавливается набор социальных гарантий гражданам, допущенным к государственной тайне на постоянной основе, и сотрудникам структурных подразделений по защите государственной тайны;
• рассматриваются условия расторжения трудового договора и прекращения допуска должностного лица или гражданина к государственной тайне (ст. 23);
• закрепляются ограничения прав должностного лица или гражданина, допущенных или ранее допускавшихся к государственной тайне (ст. 24).

Трудовой кодекс Российской Федерации [3] регулирует общие вопросы, возникающие в процессе трудовой деятельности работником, имеющего доступ к государственной тайне. Кодекс устанавливает права и обязанности работника и работодателя, регулирует вопросы охраны труда, профессиональной подготовки, переподготовки и повышения квалификации, трудоустройства, социального партнерства. Закрепляются правила оплаты и нормирования труда, порядок разрешения трудовых споров. Однако более детально, подробно и содержательно вопросы приема на работу, предоставления социальных гарантий и условия прекращения трудового договора с работниками, имеющими доступ к сведениям, составляющим государственную тайну, рассматривают иные нормативные правовые акты.  Важно помнить, что заключение трудового договора между работодателем и  кандидатом на должность, предполагающую наличие допуска к государственной тайне возможно лишь после получения кандидатом соответствующего допуска.

Подзаконные правовые акты

Постановление Правительства Российской Федерации “Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне” [4] определяет порядок допуска должностных лиц и граждан Российской Федерации к государственной тайне и формы учетной документации, необходимой для оформления такого допуска. В инструкции устанавливается последовательность оформления допуска к государственной тайне, подписания трудового договора и составления обязательства  по соблюдению требований законодательства Российской Федерации о государственной тайне. В инструкции прописывается перечень оснований для отказа гражданину в допуске к государственной тайне (ст. 12) и соответственно в приеме на работу, и наоборот предусматриваются случаи прекращения допуска к государственной тайне в связи с расторжением  трудового договора. Также инструкция рассматривает особенности оформления допуска к государственной тайне при работе по совместительству (глава 3):

• допуск к государственной тайне может быть оформлен только по основному месту работы,
• при необходимости оформления гражданину, имеющему допуск к государственной тайне, такого же допуска для работы по совместительству в другой организации (в том числе и в качестве арбитражного управляющего) по соответствующему запросу изготавливается дубликат карточки-допуска (ст. 49).

В приложении к документу приведены формы учетной документации:

• карточка-допуск (форма 1);
• обязательство граждан перед государством по соблюдению требований  законодательства Российской Федерации о государственной тайне (форма 2);
• номенклатура должностей работников организации, подлежащих оформлению на допуск к государственной тайне (форма 3);
• анкета кандидата на должность, предполагающую наличие допуска к государственной тайне (форма 4);
• и т.д.

Постановление Правительства Российской Федерации “Об утверждении Положения о порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне” [5] определяет порядок допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне.

Лица, имеющие двойное гражданство (РФ и РСФСР) допускаются к государственной тайне в порядке, установленном для граждан РФ. Однако, если граждане РФ допускаются к секретным сведениям по решению руководителей организации без проведения соответствующих проверочных мероприятий (за исключением отдельных случаев), то граждане в двойным гражданством допускаются к сведениям, составляющим государственную тайну, с грифом “секретно” только после проведения проверочных мероприятий органами федеральной службы безопасности (ст. 3).

Иностранные граждане допускаются только к тем сведениям, в отношении которых выполнены процедуры, предусмотренные Положением о подготовке к передаче сведений, составляющих государственную тайну, другим государствам или международным организациям (ст. 6) [6].

Допуск эмигрантов к государственной тайне осуществляется исходя из гражданства (РФ, РСФСР или иностранное) указанных лиц на момент возбуждения ходатайства о допуске их к государственной тайне (ст. 8).

Постановление Правительства РФ “О предоставлении социальных гарантий гражданам, допущенным к государственной тайне на постоянной основе, и сотрудникам структурных подразделений по защите государственной тайны” [7] утверждают правила выплаты ежемесячных процентных надбавок к должностному окладу (тарифной ставке) граждан, допущенных к государственной тайне на постоянной основе (рисунок 1), и сотрудников структурных подразделений по защите государственной тайны.

Рисунок 1. Ежемесячные процентные надбавки к должностному окладу граждан, допущенных к государственной тайне

на постоянной основе

Процентная надбавка устанавливается в зависимости от степени секретности сведений, к которым допущен работник: секретно, совершенно секретно, сведения особой важности.

Процентная надбавка за стаж работы исчисляется из сроков работы в соответствующих структурных подразделениях: 1-5 лет; от 5 до 10 лет; от 10 лет и выше.

Локальные нормативные акты

К числу локальных нормативных актов, регламентирующих государственную тайну в трудовых отношениях, относятся:

1. Приказы и распоряжения руководителя организации (о выплате надбавок к должностному окладу, о приеме на работу и т.д.);
2. Номенклатура должностей работников, подлежащих оформлению на допуск к государственной тайне. Этот документ составляется на основе штатного расписания с выделением тех должностей, при назначении на которые требуется допуск к сведениям, составляющим государственную тайну. Номенклатура представляет собой таблицу, в которую вносятся сведения о наименовании должности, количестве штатных единиц, пункта перечня и степень секретности сведений, к которым будет допущен данный работник. Номенклатура согласоваться с органами федеральной службы безопасности и утверждается руководителем организации. Оформление допуска к государственной тайне гражданам, не внесенным в номенклатуру должностей организации, запрещено!
3. Методические рекомендации кадровым подразделениям о порядке приема на работу граждан, подлежащих оформлению на допуск к государственной тайне, разрабатываются режимно-секретным подразделением и представляют собой краткое содержание Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне.
4. Должностные инструкции детально отражают трудовую функцию работника имеющего допуск к государственной тайне, его права и обязанности. В  тексте этого документа обязательно должна быть отражена специфика деятельности работника, предполагающая наличие у него доступа к государственной тайне.
5. Коллективный договор – правовой акт, регулирующий социально-трудовые отношения в организации заключаемый работниками и работодателем в лице их представителей. Помимо предусмотренных законодательством социальных гарантий работникам, имеющим доступ к государственной тайне, организация может устанавливать дополнительные преимущества таким работникам, например, дополнительные 2-3 дня ежегодного оплачиваемого отпуска.

В Федеральном законе от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» четко и однозначно прописаны основные понятия, касающиеся безопасности информации:

Коммерческая тайна — конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

Информация, составляющая коммерческую тайну – это научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны;

Обладатель информации, составляющей коммерческую тайну – лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.

Предоставление информации, составляющей коммерческую тайну – передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.

Разглашение информации, составляющей коммерческую тайну – действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. [2]

 В связи с широким развитием цифровых технологий встаёт вопрос о сохранении конфиденциальности информации в сетях. Это создает обширный круг проблем. Для благополучия деятельности не только бизнеса, но и государственных структур, да и государства в целом информационная безопасность имеет основополагающее значение. Задачи, которые должна решать информационная безопасность:

Обеспечение целостности данных. Учитывая, что в современном мире вся коммерческая информация, бухгалтерские данные, финансовая отчетность, базы клиентов, договора, какие-либо новаторские идеи и разработки сотрудников предприятия, планы и стратегия развития этого предприятия хранятся в локальной компьютерной сети и зачастую не дублируются на бумажных носителях, велика вероятность безвозвратной утери этих данных. В данном случаев задачи информационной безопасности входит обеспечение надежную защиту серверов и рабочих станций от сбоев и поломок, ведущих к уничтожению информации или её частичной потере. Таким образом, информационная безопасность должна базироваться на профессиональном сопровождении всей IT- инфраструктуры фирмы, что предусматривает серьёзный подход к подбору технического персонала, профессиональные качества, которого позволят снизить технические риски возможной потери информации. [3]

Защита коммерческой тайны напрямую влияет на устойчивость предприятия на рынке и её конкурентоспособность. В данном случае информационная безопасность как с внешними, так и с внутренними преднамеренными угрозами, которые направлены на хищение важных данных. У всех на устах недавний скандал, когда хакеры, взломавшие базу данных Всемирного антидопингового агентства (ВАДА), опубликовали конфиденциальные данные, указывающие на применение запрещенных препаратов известными спортсменами из США, в том числе на Олимпиаде в Рио-де-Жанейро. Но не столько хакеры и промышленный шпионаж, сколько утечка информации по вине собственных сотрудников представляет наибольшую угрозу.

Управление персоналом начинается не с приема нового сотрудника на работу, а раньше – с составления штатного расписания и описания должностных обязанностей. И уже на данном этапе желательно подключить к работе специалиста по информационной безопасности для определения доступности уровня информации, необходимого для нормальной деятельности сотрудника в данной должности. Принято выделять два общих принципа, которые следует иметь в виду: Принцип разделения обязанностей предписывает порядок распределения роли и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс. Таким образом, снижается вероятность ошибок. Принцип минимизации привилегий предписывает для уменьшения ущерба от случайных или умышленных некорректных действий выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Предварительное составление описания должностных обязанностей позволяет спланировать и процедуру проверки и отбора кандидатов. Нельзя отказываться от предварительной проверки, чтобы случайно не принять на работу человека с психическим заболеванием, уголовным прошлым или просто нечистого на руку.

Когда кандидатура соискателя на должность определена, ему, возможно, необходимо будет пройти обучение. Также следует подробно ознакомить кандидата со служебными обязанностями и, конечно же, с нормами и процедурами информационной безопасности. Необходимо, чтобы меры безопасности были им усвоены до вступления в должность и до получения доступа к конфиденциальной информации. [4]

Так как большая часть информации в настоящее время является цифровой, то попробуем выделить вопросы по безопасности информации в работе персонала именно в информационном поле. В процессе деятельности сотрудника в своей должности постепенно изменяется его окружение, его служебные обязанности и т.п. Все это требует соответствующего изменения привилегий и уровня доступа пользователя. Временные перемещения пользователя, выполнение им обязанностей сотрудника, заболевшего или ушедшего в отпуск, и иные обстоятельства, когда новый уровень полномочий нужно сначала предоставить, а через некоторое время отменить. В такие периоды интенсивность и направление активности пользователя может резко меняться, что, возможно, создаст сложности при обнаружении подозрительных ситуаций, которые могут грозить утечкой информации. Также тщательность следует соблюдать и при выдаче новых постоянных полномочий, не забывая отменить или уничтожить старые права доступа. Ликвидация системного счета пользователя, определенный должностными обязанностями уровень привилегий, особенно в случае конфликта между сотрудником и организацией, или его увольнении должны производиться максимально оперативно (в идеале – одновременно с извещением о наказании или увольнении). Мне, допустим, известны случаи, когда уволенные из предприятия водители продолжали пользоваться заправочными картами, т.к. они не были заблокированы. Во избежание утечки информации возможно и физическое ограничение доступа сотрудника к рабочему месту.

К области управления сотрудниками относится также и контроль лиц, работающих по контракту (к примеру, специалистов фирмы-поставщика, осуществляющих шеф-монтаж оборудования, помогающих запустить новую систему, аудиторов и т.д.). Принимая во внимание принцип минимизации привилегий, контрактникам необходимо выделять ровно столько прав, сколько нужно для выполнения своих обязанностей, и изымать эти права сразу по выполнении оговоренных контрактом работ. И основная проблема в этой ситуации в том, что на начальном этапе осуществления своей контрактной деятельности “внешние” сотрудники будут администрировать “местных”, а не наоборот. И здесь опять на первый план выходит квалификация персонала организации, его способность к быстрому обучению и применению полученных навыков в своей работе. А на администрации предприятия лежит оперативное проведение учебных курсов. Важен также и принцип выбора деловых партнеров.

Иногда внешние организации берут на обслуживание и администрирование, ответственные компоненты компьютерной системы, например, сетевое оборудование, сервера, где хранится информация, которая не подлежит разглашению. Очень часто администрирование выполняется в удаленном режиме. И всё это создает в системе хранения информации уязвимые места, которые необходимо нужно более тщательно контролировать средствами удаленного доступа или, опять же, обучением собственных сотрудников. [5]

Мы видим, что проблема обучения – одна из ключевых с точки зрения сохранения конфиденциальной безопасности. Если персонал не знаком с политикой безопасности своей организации, он не может добиваться сформулированных в ней целей и задач. Не имея понятия о мерах информационной безопасности, он не может их соблюдать. И, напротив, если сотрудник знает, что его действия контролируются и фиксируются, он, возможно, воздержится от нарушений. Незнание и несоблюдение техники безопасности может нанести вред работнику, незнание и несоблюдение мер информационной безопасности может нанести гораздо больший вред в корпоративном, отраслевом и даже в национальном масштабе.

Процессу приема сотрудника на работу, связанную с владением конфиденциальной информацией, как уже говорилось, должен предшествовать ряд подготовительных этапов, позволяющих составить точное представление о том, какой специалист и какой квалификации нужен для данной должности, какими он должен обладать моральными, личными и деловыми качествами.

Какими мы видим эти этапы:

Во-первых, работодатель должен заранее сформулировать, какие функции должен выполнять сотрудник на данной должности, каков круг его ответственности и какие качества, знания, умения и какой уровень квалификации необходимо иметь претенденту; Во-вторых, необходимо составить перечень конфиденциальных сведений, к которым будет иметь доступ специалист; Также необходим перечень вариантов стимулирования и поощрения, бонусов, которые может получать сотрудник; У работодателя должен быть конкретный перечень и других вопросов, которые необходимо будет решать специалисту, перечни требуемых личных качеств, возрастных, профессиональных и иных характеристик. Выполнение вышеуказанных этапов облегчит процедуру подбора кандидатов и сделает отбор их более объективным и обоснованным. Кандидаты должны предварительно ознакомиться с указанными выше документами. Это делает собеседование с ними более конкретным и целенаправленным. Также возможно, что кандидат может отказаться от предлагаемой должности после ознакомления с документами. Необходимо также обратить внимание, что при подборе кандидатов для назначения на должности, которые связаны с конфиденциальной информацией, обязательно нужно учитывать уровень каждой конкретной должности с точки зрения принятия и реализации решений, исполнения организаторских функций и вопросов повседневной деятельности организации. Принимая во внимание названные критерии, такие должности следует подразделять на следующие группы: руководители организации; заместители руководителя; руководители структурных подразделений; руководители служб безопасности и их заместителей; сотрудники служб безопасности предприятия; сотрудники предприятия, осуществляющие на постоянной основе работу с конфиденциальной информацией в соответствующих структурных подразделениях.

Комплексная проверка претендентов на работу предоставит возможность работодателям существенно уменьшить риск нанесения ущерба деятельности компании, а безупречность личных и деловых качеств сотрудников является наилучшей гарантией внутренней ее безопасности. [6]