CЕРТИФИЦИРОВАННОЕ УНИЧТОЖЕНИЕ

Серия «Управление рисками»

Уничтожение информации

Аудит и консультации

1. На каждом предприятии имеется информация, подлежащая уничтожению

На любом предприятии всегда найдется конфиденциальная информация, от которой приходится избавляться. Списки клиентов, расценки, статистика продаж, проекты коммерческих предложений, переписка и даже внутренние распоряжения, содержащие сведения о деятельности компании, могут быть интересны конкурентам. Кроме того, существуют сведения, которые необходимо засекречивать. Законодательство предусматривает права сотрудников и клиентов на защиту таких данных. В отсутствие надлежащих механизмов секретные сведения могут оказаться в мусорной корзине, откуда без нарушения каких-либо законодательных положений их легко изымет любое заинтересованное лицо. Среди профессионалов в области промышленного шпионажа именно мусорные корзины считаются единственным надежным и доступным источником информации о сотрудниках и конкурентоспособности предприятия. Организации, не уделяющие должного внимания уничтожению информации частного и коммерческого характера, подвергаются риску преследования в рамках уголовного и гражданского законодательства, а также опасности существенных финансовых потерь.

2. Хранящиеся данные необходимо регулярно уничтожать

Определение продолжительности хранения производят в соответствии с графиком, составленным с учетом ценности данных и законодательных требований. Информацию не следует хранить дольше срока, указанного в графике. В случае возбуждения судебного дела или проведения аудиторской проверки деятельность организации, не соблюдающей режим регулярного уничтожения информации, может быть расценена как подозрительная. Кроме того, согласно требованиям нового Федерального правила 26, в случае возбуждения судебного преследования каждая сторона обязана представить адвокату противной стороны всю необходимую документацию в течение 85 дней со дня первоначального отзыва ответчика на иск. Если одна из сторон не выполняет данное обязательство, то суд без дальнейшего разбирательства может вынести против нее определение. Уничтожая документацию в соответствии с установленным графиком, организация должным образом ограничивает объем хранящихся материалов, сроки хранения которых в соответствии с законодательством необходимо проверять. С точки зрения управления рисками, единственным приемлемым методом является уничтожение хранящихся данных по мере их устаревания. Действующее законодательство рекомендует при этом документально фиксировать точную дату уничтожения информации.

3. Необходимо обеспечивать защиту деловой документации, уничтожаемой ежедневно

В отсутствие программы контроля ежедневно в мусорную корзину могут попадать сведения, способные нанести ущерб компании. Информация, уничтожаемая ежедневно и касающаяся повседневной деятельности организации, особенно интересна конкурентам. Это телефонные сообщения, внутренние распоряжения, плохо распечатанные бланки, проекты коммерческих предложений и черновики писем. Потенциальная угроза перехвата внутренних сведений существует для каждого предприятия, поскольку ненужная документация уничтожается ежедневно. Единственный способ, позволяющий снизить такую угрозу, ― сбор и централизованное уничтожение информации.

4. Утилизация ― неприемлемая альтернатива уничтожению

Для извлечения максимальной выгоды из стоимости использованной офисной бумаги, компании, занимающиеся утилизацией, принимают на минимально оплачиваемую работу сотрудников, не проверяя их должным образом. Рабочие сортируют огромные объемы документов в условиях, не обеспеченных необходимой защитой. Пригодная использованная бумага хранится неопределенное время, пока не накопится определенный ее объем, который можно продать. Отобранные документы без видимых повреждений связывают пачками и продают тому, кто предложит самую высокую цену. Часто такую бумагу продают в зарубежные страны, где ее хранят в течение нескольких недель или даже месяцев до переработки в другую продукцию.

Процесс переработки старых документов не предусматривает фидуциарной ответственности. Бумага передается или продается, и компания такими действиями отказывается от своего права контролировать ее дальнейшую обработку. Практические механизмы расчета точной даты уничтожения документации отсутствуют, несмотря на то, что она может потребоваться для целей аудиторской проверки или судебного разбирательства. И, кроме того, когда речь идет о разглашении личных данных, выбор метода обработки старых документов, не предусматривающего защиту информации, может быть расценен как «небрежное обращение». Ввиду названных причин, с точки зрения управления рисками, утилизацию документации нельзя считать приемлемым методом. Если говорить об охране окружающей среды, то материалы поступают на переработку после их уничтожения, для чего организация может воспользоваться услугами компаний по конфиденциальному уничтожению документов. Следует избегать деловых контактов с фирмами, не уделяющими должного внимания мерам защиты информации. Как правило, такие фирмы преследуют собственные интересы.

5. Наличие акта об уничтожении документации не освобождает компанию

от ответственности за соблюдение конфиденциальности информации Компании, пользующиеся услугами фирм, должны требовать от них представления подписанного подтверждения с указанием даты уничтожения документации. Акт об уничтожении документации, как обычно называется такой документ, является важным правовым свидетельством соблюдения компанией графика ее хранения. Однако акт по своей сути не передает фирме по уничтожению документации ответственность за соблюдение конфиденциальности данных. В случае разглашения частной информации после ее получения такой фирмой суд имеет право уточнить, на каком основании именно она была выбрана для оказания услуг по уничтожению документации. Действия компании, не сумевшей аргументировать свой выбор, могут быть признаны халатными. Кроме того, с практической точки зрения, фирмы по уничтожению документации не несут ответственности за утрату или утечку информации в результате мошенничества или халатности. Наибольший ущерб понесет та компания, чья информация попадет в чужие руки: она может потерять контракт, против нее могут возбудить судебное преследование или же может пострадать ее репутация. Поскольку ответственность за секретность информации всегда возлагается на компанию, она должна быть уверена в том, что фирма, приглашенная для уничтожения документации, имеет безупречную репутацию и соблюдает все меры по обеспечению конфиденциальности. К сожалению, многие фирмы, выдающие акты об уничтожении документации, не обеспечивают защиты данных и на деле не применяют процедуры уничтожения документации. Прежде чем заключать контракт с такой фирмой, необходимо ознакомиться с ее политикой и процедурами, побывать в офисе для первоначальной проверки ее деятельности, затем провести еще несколько негласных проверок. Во многих городах имеются фирмы, уничтожающие документацию непосредственно на предприятии клиента.

6. Большая часть компаний по уничтожению документации не имеет оборудования для измельчения бумаги

Многие хранилища коммерческой документации предлагают своим клиентам дополнительные услуги по ее уничтожению. Однако результаты исследования, проведенного Национальной ассоциацией компаний по уничтожению документации, свидетельствуют о том, что подобные хранилища в большинстве своем не имеют оборудования для самостоятельного предоставления этой услуги. В данной отрасли для этой цели практикуется привлечение субподрядчиков. В некоторых случаях хранилища коммерческой документации, имеющие сомнительную репутацию, обманывали своих клиентов, выставляя им счета за конфиденциальное уничтожение документации, продавая на самом деле бумагу как утильсырье для переработки. Прежде чем воспользоваться услугами хранилища коммерческой документации необходимо выяснить, какие конкретно услуги по уничтожению документации предлагает оно само. Предоставление хранилищу права выбора субподрядчика для уничтожения документации связано со слишком высоким риском. Никто, кроме владельца документации, не несет ответственности за ее конфиденциальность, поэтому выбирать исполнителей работ должен только он.

7. Сотрудники компании не должны нести ответственность за уничтожение определенной информации

Здравый смысл подсказывает, что такую информацию, как сведения о заработной плате, трудовых отношениях или юридических вопросах, не следует передавать для уничтожения сотрудникам низшего звена. Более того, их не стоит знакомить и с данными, имеющими отношение к конкуренции. Факты о готовности сотрудников продавать ценную информацию конкурентам, подтверждаются вновь и вновь. Рабочие с невысокой заработной платой материально заинтересованы в получении выгоды от доступа к информации. Единственным приемлемым альтернативным решением может быть уничтожение документации под надзором вышестоящих руководителей или привлечение для этой цели фирм, отличающихся высоким уровнем защиты информации.

8. Защита информации — приоритетная задача высшего руководства

Согласно результатам исследования, проведенного коллегией конференции, руководители высшего звена 300 компаний считают безопасность информации одним из пяти приоритетов в деятельности предприятия. Отвечая на вопрос о том, чему прежде всего следует уделить внимание и в каком направлении надо разработать политику, они назвали проблемы безопасности на втором месте после охраны труда сотрудников.

Разбросанные папки с неуничтоженными документами представляют серьезную угрозу безопасности

Хранение информации, включающей личные данные о клиентах в одной из местных юридических фирм

Приоритетные темы

ШТАТНЫЙ ФОТОГРАФ ПАТ АКЕРМАН. Папки с делами были обнаружены в мусорном контейнере, после того как их выбросили из юридической фирмы Уильяма Боуэна в пятницу, 26 июня 2009 г. В них содержались материалы по делам клиентов, переписка, номера карточек социального страхования, фамилии и адреса.

Джессика Хеффнер, штатный корреспондент. Обновление ― 23:55, суббота, 4 июля 2009 г.

МИДДЛТАУН. Груды папок с документацией и делами о рассмотрении споров по недвижимости 26 июня были просто выброшены в общественный мусорный контейнер без измельчения в шредере. В результате любой прохожий мог узнать номера карточек социального страхования и иную персональную информацию.

Папки, очевидно, принадлежали юридической фирме Уильяма Боуэна, расположенной в центре города на Мейн-стрит, в доме 1. Фирма специализировалась на делах о банкротстве, долгах, торговом праве и недвижимости.

Корреспонденты журнала «Middletown Journal» обнаружили перечисленные документы в открытом мусорном контейнере в аллее, сразу за зданием, где находилась эта юридическая фирма; контейнер был доступен как со стороны Мейн-стрит, так и со стороны Центральной авеню.

Многие документы, датированные главным образом 1990-ми годами, были отпечатаны на фирменных бланках компании, в некоторых содержалась конфиденциальная информация, касающаяся частных договоренностей между адвокатами и клиентами.

В офисе юридической фирмы были замечены, по крайней мере, два человека, складывающих папки в корзины, которые они потом отнесли в общественный мусорный контейнер.

Сам Боуэн заявил, что ему нечего сказать по поводу уничтожения папок.

Согласно Кодексу профессиональной ответственности штата Огайо, юристы должны обеспечивать защиту собственности клиентов, в том числе материалов судебных дел, как во время, так и после окончания разбирательства.

«Когда клиент просит юриста уничтожить материалы дела, последний несет ответственность за защиту информации, даже во время ее уничтожения», — говорит Артур Гринбаум, профессор юридического отделения Юридического колледжа Е. Морица при Государственном университете штата Огайо.

«Вы обращаетесь к юристам по самым разным вопросам, — продолжает он, — и… мы просто придерживаемся правила хранить в секрете всю доверенную нам информацию».

Робин Пайпер, прокурор округа Батлер, отметил, что с учетом высокого риска хищения персональных данных папки с материалами, касающимися только юриста и его клиентов, следует уничтожать должным образом и «недопустимо (их) просто выбрасывать в общественный мусорный контейнер».