Как помешать разглашению конфиденциальной информации

Ответственность за разглашение конфиденциальной информации

Как помешать разглашению конфиденциальной информации

Разглашение конфиденциальной информации — наказуемое деяние. Вид распространенных данных влияет на уровень ответственности перед законом. В юридическом праве существуют критерии, которые защищаются разными кодексами: гражданским, административным или уголовным.

Каждый гражданин может попасть под подсудность одного из них за предоставление в свободный доступ сведений, что считается преступлением. Если они находятся в перечне под охраной законодательных положений и регламентируются нормативными актами.

Ступень ответственности определит суд по сопутствующим нарушение факторам.

От чего зависит тяжесть наказания

Прежде чем устанавливать уровень вины за разглашение конфиденциальной информации, стоит понять, что к ней относится по закону и праву. Конфиденциальность означает секретность.

Данные, содержащиеся в закрытом доступе посторонним лицам, защищены от их проникновения законом, нарушителей наказывают. На страже стоит Федеральный закон № 149 со статьей 5, которая утверждает защищенность информационных технологий и разделяет материалы по видам доступности.

Но в любой их форме, если лицо имеет к ним доступ, не может передавать сведения сторонним людям кроме правообладателей.

Если из-за противоправных действий будет нанесен ущерб предприятию или работодателю виновного ждет наказание:

  • дисциплинарное;
  • материальное;
  • административное;
  • уголовное.

В зависимости от тяжести вины определяют, какую гражданин должен нести ответственность за разглашение конфиденциальной информации, если предприятие не секретное, возможно, руководство ограничится простым увольнением.

Характерные особенности секретности

Информационные сведения имеют широкое понятие. Ограничить свободный доступ к ним или полностью запретить может федеральное законодательство. Если данные настолько важны, что угрожают государственной безопасности, они относятся к военной тайне и принадлежат к стратегическому значению.

Подобное распространение, документальное или устное, считается тяжким преступлением и строго карается. Разглашение конфиденциальной информации принадлежит к уведомлениям ограниченно закрытым.

Если они не подлежат к общедоступным сведениям, с ними работают правоохранительные или надзорные органы по установлению закона.

В секрете должны содержаться детали:

  • следствий в ходе судебных разбирательств;
  • персональные из жизни каждого гражданина, его личные данные;
  • телефонных разговоров, переписки;
  • коммерческих действий юридических и физических лиц, если они являются тайной определенной законом и нормативными актами организации;
  • профессиональных сведений, которые доверены были населением работнику – врачу, адвокату, следователю.

Отсюда можно сделать вывод, что тайна бывает:

  • государственной;
  • коммерческой;
  • служебной;
  • персональной;
  • иной.

Каждого работника, занимающего ответственную должность, заранее предупреждают, что конфиденциальная информация не подлежит разглашению.

Прежде всего, как физические, так и юридические лица обязаны хранить свои секреты в надлежащем состоянии. Суд удовлетворит претензии, если истцом были предприняты меры надежной защиты.

Предприниматели могут подать исковое заявление в любом случае при обнаружении, что произошла утечка или разглашение конфиденциальной информации.

Но даже в правилах дорожного движения автовладелец может ответить за угон своего автомобиля, когда оставляет в нем ключи.

Поэтому предъявляются строгие требования :

  1. Документации с конфиденциальными данными в местах, ограниченных к свободному доступу. Это могут быть закрытые помещения или сейфы.
  2. Электронных данных, их защиту осуществляют пароли, коды, логины.
  3. Бумажных и электронных носителей, где должен стоять специальный гриф, предупреждающий о секретности.
  4. Трудовых договоров, в них прописывают условия для сотрудников в отношении коммерческих тайн.
  5. Локальных актов, в приказном порядке утверждают персонал, должности которого позволяет работать с закрытой для остальных информацией, они согласны хранить корпоративные секреты и ставят свои подписи под обязательствами.

При обнаружении утечки данных они должны сообщить руководству, так как бездействие тоже является нарушением производственной дисциплины.

Что принадлежит к распространению сведений

На каждом предприятии может произойти свой особенный случай, когда участвовали при разглашении конфиденциальной информации сотрудники.

Например:

  • инженер передал разработки коллег за определенную оплату конкурентам;
  • по недоразумению или желая разбогатеть, лаборант предоставляет доступ преступным элементам общества, к закрытым помещениям, где содержатся данные об испытаниях нового лекарственного препарата;
  • хвастовство за праздничным столом работника секретного ведомства позволило распространиться из уст в уста закрытым сведениям;
  • специалист регулярно выносил схемы, расчеты, подробности технических открытий за пределы предприятия, это серьезные преступные действия, квалифицировать которые способна судебная инстанция.

В каком бы статусе ни был пострадавший или организация, обратиться за восстановлением справедливости он может в правовое ведомство в законном порядке, самосуд исключен.

Доказательная база

Открывают дело в суде о несанкционированном распространении тайных сведений при наличии доказанных фактов. Процедура имеет заявительный характер, как и любое обращение в судебную инстанцию.

Подавать иск нужно с доказательствами:

  • письменными свидетельскими показаниями от сотрудников;
  • зафиксированными фактами пересылки документов;
  • обнаруженными копиями, сделанными без специальных распоряжений руководства;
  • записанными на камеру наблюдениями о противоправных действиях – передача третьим лицам документов, их копирование, фотографирование.
  • выявление косвенных признаков, доказательств нет, но утечка есть, при этом доступ имеет один из сотрудников.

Разглашение конфиденциальной информации по договору запрещено, это одно из требований к персоналу при приеме на работу отдельных специалистов. Условия о секретности содержат и должностные инструкции.

Для кого достаточно дисциплинарного взыскания

Если руководство решит, что служащий больше не позволит себе допустить халатность, его не уволят, а только:

  • предупредят;
  • сделают замечание;
  • лишат премии;
  • объявят выговор.

Подобные взыскания относятся к дисциплинарным, в их признаках отсутствует прямой умысел, нет причинения ущерба.

За какие действия наказывают по административному кодексу?

Штраф за разглашение конфиденциальной информации в размере 10000 рублей предусмотрен, если распространялись личные или коммерческие данные.

Административные нарушения не содержат передачу третьим лицам государственных тайн.

Разбирательства ведутся в отношении действий внутри предприятий за передачу конкурентам сведений о порядке работы, структуре, внедрения в производство новых разработок.

По УК РФ осуждают за уголовные преступления.

За разглашение конфиденциальной информации статья 183 регламентирует наказания, если граждане незаконно получили и распространили сведения, принадлежащие к коммерческим, налоговым, банковским тайнам.

Когда были похищены документы, происходил подкуп, давление на лиц с помощью угроз, проступки попадают под действие Федерального закона № 193 или № 420.

Степень ответственности зависит от тяжести преступления:

  • штрафные санкции по размеру зарплаты или годичного дохода;
  • исправительные или принудительные работы;
  • лишение свободы.

Только Уголовный кодекс предусматривает реальный тюремный срок за проступки, попавшие под действия его юрисдикции.

Нарушения гражданских прав

По ГК РФ предусмотрена ответственность в следующих случаях:

  • пренебрежительное отношение к своим профессиональным обязанностям;
  • нанесение вреда субъекту;
  • причинение морального ущерба за распространение личных данных.

Если профессиональная деятельность и трудовой договор содержат условия, что информация является конфиденциальной и не подлежит разглашению, а работник ознакомлен и подписал требования, значит, он несет ответственность за любое нарушение подобного характера.

и особенности, подписанных соглашений

Компании работают по разным производственным направлениям. Руководители и учредители предприятий стараются защитить себя от распространения тайн по характеру:

  • научно-техническому;
  • технологическому;
  • финансовому;
  • деловому.

Для сохранения секретности в учреждениях подписывают соглашения, что в рабочих процессах информация является конфиденциальной и не подлежит разглашению.

Специалисты подписывают обязательства по содержанию:

  • после изучения и знакомства с любыми данными не использовать их для собственных нужд;
  • сообщать руководству сведения о попытках сторонних лиц узнать производственные секреты;
  • соответствовать в работе нормам и требованиям относительно конфиденциальности;
  • когда прекратится допуск к секретным разработкам, соблюдать срок сохранения тайны, в течение периода, установленного локальным актом.

Сотрудник после подписания соглашения дает согласие на дисциплинарную или другую ответственность, предусмотренную договором. Персонал перед принятием на работу и после, когда он приступит к своим обязанностям, неоднократно проверяется службой безопасности организации. Вначале досконально изучают переданные документы.

Дают подписать трудовой договор и соглашение о неразглашении. Предоставляют испытательный срок, знакомят с доступом к конфиденциальным данным. В этот период специалиста оценивают не только по профессиональным навыкам, но и по его разговорам.

Когда происходит увольнение, бывшего коллегу предупреждают о последствиях в случае разглашения ему не принадлежащих тайн.

Источник: https://FB.ru/article/435995/otvetstvennost-za-razglashenie-konfidentsialnoy-informatsii

Случаи возможного разглашения конфиденциальной информации. Разглашение конфиденциальной информации

Как помешать разглашению конфиденциальной информации

» Ответы консультанта » Случаи возможного разглашения конфиденциальной информации. Разглашение конфиденциальной информации

Существуют определённые виды сведений, несанкционированный доступ к которым запрещён в соответствии с положениями российского законодательства.

Ответственность за разглашение информации подобного рода предусмотрена положениями гражданского, административного или уголовного кодексов.

Перечень сведений, охраняемых законом РФ от свободного доступа, содержится в соответствующих нормативных актах.

Исчерпывающее определение термину «конфиденциальные сведения» даёт ФЗ «О защите информации», принятый в 2006 г. Согласно этому законодательному акт, любые информационные данные, касающиеся простых граждан, организаций или государства подразделяются на общедоступные, и сведения, доступ к которым ограничен или полностью закрыт.

Свободный доступ к любым информационным сведениям ограничивается или полностью запрещается только на основании федерального законодательства. Попытка несанкционированного сокрытия прочей информации от широкой общественности преследуется по закону.

К закрытой, или секретной, информации относят все сведения, особо важные для безопасности государства. Они составляют государственную или военную тайну: это документы и сведения стратегического значения.

Ответственность за разглашение информации, имеющей статус гос.тайны, установлена Уголовным кодексом.

Подобные преступления относятся к разряду тяжких и особо тяжких, и наказываются реальными сроками заключения, вплоть до высшей меры.

Ограниченно закрытая информация называется конфиденциальной. Она не подлежит публичному разглашению, и доступ к ней имеют только соответствующие правоохранительные и надзорные органы в случаях, прописанных законом. Конфиденциальной считается любая информация, содержащая следующие сведения:

  • О деталях следствия, судебного производства.
  • О личной жизни и персональных данных человека.
  • Личная переписка и телефонные разговоры гражданина.
  • Сведения, являющиеся коммерческой тайной как юридического лица, так и физ.лица. Статус коммерческой тайны определяется законом, или положениями нормативных актов предприятия.
  • Сведения, не подлежащие разглашению, доверяемые населением или организациями работникам ряда специальностей – врачам, адвокатам, сотрудникам правоохранительных органов.

Каждый человек или организация имеют право, а в ряде случаев просто обязаны, предпринять все доступные меры к охране конфиденциальной информации. К примеру, организация может потребовать удовлетворения иска относительно разглашения секретных данных только в том случае, если её руководством были приняты все разумные меры к её сохранности.

К таким мерам относятся:

  • Хранить документацию, содержащую конфиденциальные данные в закрытых помещениях с ограниченным доступом или в сейфах.
  • Электронные данные должны защищаться паролями или электронными ключами доступа.
  • Все подобные документы должны быть промаркированы грифами «секретно», «только для внутреннего пользования». Это как к печатной, так и к электронной документации.
  • В трудовом договоре, заключаемом с сотрудниками организации, должен быть прописан отдельный пункт о сохранении корпоративной тайны.
  • Внутренним приказом должен быть определён круг работников, которым разрешён доступ к закрытой информации и несущих ответственность за сохранность тайны.

Разглашение конфиденциальной информации и персональных данных подразумевает преступные действия, или же бездействие определённого лица, имеющего к ним доступ, в результате чего закрытая информация попала в распоряжение третьих лиц без разрешения на то её правообладателя. В качестве примера разглашения закрытых данных можно привести:

  • Единовременная передача сотрудником коммерческой информации компании-конкуренту за определённое вознаграждение.
  • Предоставление доступа к закрытым данным злоумышленникам. При этом доступ может быть предоставлен как умышленно, из корыстных побуждений, так и нечаянно, в результате халатного отношения работником к своим обязанностям.
  • «Излишняя болтливость» работника, в результате чего секретные данные становятся известны окружающим.
  • Регулярное тайное хищение закрытых сведений с целью их продажи и получения иных выгод. Сюда относится такое преступление, как «промышленный шпионаж», который может квалифицироваться как уголовное деяние.

В случае несанкционированного разглашения закрытых данных пострадавшее лицо вправе обратиться за защитой в правоохранительные или судебные органы. При этом заявитель должен будет доказать в судебном порядке наличие факта разглашения данных.

В качестве доказательной базы может выступать:

  • Факт пересылки сотрудником электронной документации третьим лицам. Зафиксировать это можно с помощью системных администраторов компании, отследив IP-адреса отправителя и получателя.
  • Свидетельские показания других работников компании.
  • Обнаружение у сотрудника копий конфиденциальных документов, сделанные им по собственной инициативе без соответствующего распоряжения начальства.
  • Записи камер видеонаблюдения, на которых работник без разрешения вынимает документы из хранилища, передаёт их кому-либо, снимает с них копию, фотографирует.
  • Косвенные признаки. Например, когда установлен явный факт утечки, в то время как доступ к информации имел только один человек.

Российское законодательство предусматривает за подобное преступное деяние целый комплекс различных наказаний, в зависимости от вида проступка и его последствий:

  • Дисциплинарное взыскание. Назначается нерадивому служащему в соответствии с решением руководства. Это может быть лишение премиальных выплат, выговор, замечание, а в крайнем случае – увольнение по статье КЗоТа. Постановление о наложении дисциплинарного взыскания должно быть оформлено законным образом в виде внутреннего приказа по организации.
  • Административное взыскание. Подобная ответственность может налагаться в случае разглашения конфиденциальных данных как личного, так и коммерческого характера. Под действие административного кодекса не подпадает только разглашение сведений, составляющих гос.тайну. Максимальное наказание, предусмотренное административным кодексом за подобное правонарушение – наложение штрафа до 10 000 руб.
  • Уголовное наказание. Под действие УК РФ может подпадать целый спектр деяний, связанных с разглашением секретной информации. Это может быть опубликование неких данных личного характера, промышленный шпионаж или же разглашение государственной тайны. В отличие от прочих правовых кодексов, подпадание правонарушения в сферу юрисдикции уголовного кодекса может означать наказание в виде реального тюремного срока.
  • Гражданская ответственность. Наступает в ряде случаев, как в виде самостоятельного наказания, так и в виде сопутствующего взыскания. Примером подобного взыскания может служить вынесение судебными органами решения о возмещении пострадавшему морального вреда.

Любой вид законного наказания может назначаться только в результате соответствующего судебного постановления. То есть, для наложения на виновника разглашения взыскания, потребуется доказать, что в утечке данных виноват именно он.

Вообще, разглашение конфиденциальной информации и персональных данных, является преступленным деянием весьма сложного состава.

При рассмотрении и ведении подобных дел очень часто допускаются различные ошибки относительно правоприменения статей законодательства.

Ещё сложнее бывает пострадавшему защитить свои законные интересы.

В этом случае необходимо правильно определить состав преступления, правильно подготовить исковое заявление, собрать всю необходимую доказательную базу.

Всё это бывает крайне сложно произвести гражданину, далёкому от юридической практики. Лишь обратившись за помощью к квалифицированному специалисту, можно получить всю необходимую информацию по существу проблемы.

Также опытному юристу можно доверить вести своё дело в суде «под ключ», предоставив ему сбор всей необходимой документации и право представления в инстанциях. Подобный вариант не только позволит сберечь множество нервов, сил и времени, но также существенно увеличит шансы на благоприятный исход тяжбы.

«ПРИВЛЕЧЕНИЕ РАБОТНИКОВ (В ТОМ ЧИСЛЕ БЫВШИХ) К ОТВЕТСТВЕННОСТИ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ».

Источник: https://oepress.ru/sluchai-vozmozhnogo-razglasheniya-konfidencialnoi-informacii.html

Работа с конфиденциальной информацией | Защита конфиденциальной информации на предприятии

Как помешать разглашению конфиденциальной информации

Вопросы защиты конфиденциальной информации актуальны для каждого современного предприятия. Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Важно понимать, какие данные нуждаются в защите, определить способы и методы организации информационной безопасности.

Данные, нуждающиеся в защите

Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:

  • коммерческая тайна;
  • производственная документация секретного характера;
  • ноу-хау компании;
  • клиентская база;
  • персональные данные сотрудников;
  • другие данные, которые компания считает нужным защитить от утечки.

Какие сведения составляют коммерческую тайну и как их обезопасить? Подробнее… 

Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:

  • определение перечня активов, подлежащих защите;
  • разработка документации, регламентирующей и ограничивающей доступ к данным компании;
  • определение круга лиц, которым будет доступна КИ;
  • определение процедур реагирования;
  • оценка рисков;
  • внедрение технических средств по защите КИ.

Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).

Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:

  • при каких условиях информация относится к служебной, коммерческой, другой тайне;
  • обязательность соблюдения условий конфиденциальности;
  • ответственность за разглашение КИ.

Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).

Полный перечень документов, которые регламентируют подходы к безопасности информации. Смотреть.

Защита конфиденциальной информации на практике

В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).

Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании.

Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий.

Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.

Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении.

Правовая защита – это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди – основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками.

Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.

Защита информации на предприятии

При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.

Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.

Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.

В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.

IT-защита информации

Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.

Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.

Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.

Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков.

В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему.

Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.

Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.

DLP-систему «КИБ СёрчИнформ» можно интегрировать с SIEM-решениями. Это усилит эффект от двух продуктов.

DLP-системы для предотвращения утери данных

Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.

), необходимо обеспечить надежность ее сохранности. DLP-системы (Data Loss Prevention) – это надежный защитник от хищения КИ.

Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:

  • USB-разъемы;
  • локально функционирующие и подключенные к сети принтеры;
  • внешние диски;
  • сеть Интернет;
  • почтовые сервисы;
  • аккаунты и др.

Основное предназначение DLP-системы – контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.

DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности.

Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска.

При выявлении утечки система ее заблокирует.

Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал.

Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение.

Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.

Специализированные DLP-системы – это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:

  • частных сведений;
  • интеллектуальной собственности;
  • финансовых данных;
  • медицинской информации;
  • данных кредитных карт и др.

SIEM-системы

Эффективным способом обеспечения информационной безопасности специалисты считают программу SIEM (Security Information and Event Management), позволяющую обобщить и объединить все журналы протекающих процессов на различных ресурсах и других источниках (DLP-системах, ПО, сетевых устройствах, IDS, журналах ОС, маршрутизаторах, серверах, АРМ пользователей и др.).

Если угроза не была выявлена своевременно, при этом существующая система безопасности сработала с отражением атаки (что происходит не всегда), «история» таких атак впоследствии становится недоступной.

SIEM соберет эти данные во всей сети и будет хранить на протяжении определенного отрезка времени.

Это позволяет в любой момент воспользоваться журналом событий с помощью SIEM, чтобы использовать его данные для анализа.

Кроме того, эта система позволяет использовать удобные встроенные средства с целью анализа и обработки произошедших инцидентов. Она преобразовывает трудночитаемые форматы информации о происшествиях, сортирует их, выбирает самые значимые, отсеивает незначительные.

В особых правилах SIEM прописаны условия для накопления подозрительных событий. Она сообщит о них при накоплении такого их количества (три и более), которое свидетельствует о возможной угрозе. Пример – неверное введение пароля.

Если фиксируется единичное событие введения неправильного пароля, SIEM не будет сообщать об этом, так как случаи единоразовых ошибок ввода пароля при входе в систему происходят довольно часто.

Но регистрация повторяющихся попыток введения невалидного пароля во время входа в один и тот же аккаунт может свидетельствовать о несанкционированном доступе.

Любая компания сегодня нуждается в подобных системах, если ей важно сохранить свою информационную безопасность. SIEM и DLP обеспечивают полноценную и надежную информационную защиту компании, помогают избежать утечки и позволяют идентифицировать того, кто пытается навредить работодателю путем хищения, уничтожения или повреждения информации.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/rabota-s-konfidentsialnoj-informatsiej/

Как помешать разглашению конфиденциальной информации

Как помешать разглашению конфиденциальной информации

В компании ввели режим коммерческой тайны. Как контролировать работу сотрудников, чтобы пресечь разглашение конфиденциальной информации.

Компания применяет режим коммерческой тайны. Но у части работников есть доступ к охраняемым данным, чтобы исполнять прямые должностные обязанности. Некоторые работники могут воспользоваться ситуацией.

Чтобы помешать им позаимствовать конфиденциальные данные или разгласить их, работодателю нужно контролировать их работу.

Например, следить за ведением корпоративной переписки или за использованием внешних накопителей данных.

Разглашение конфиденциальной информации по почте

Многие подразделения коммерческих компаний ведут свою работу с помощью электронных средств связи, в том числе корпоративной электронной почты. Так работают отделы продаж, юридические отделы, бухгалтерии и т.

д. Электронная переписка – самый простой способ передать секретную информацию посторонним лицам. Чтобы помешать работникам сделать это, компания вправе наложить запрет на использование некорпоративных средств связи в рабочее время.

Самое важное – контролировать содержание рабочей переписки. Когда сотрудники общаются с контрагентами или коллегами по работе, результат обмена – это собственность компании. Представители работодателя могут изучать содержание переписки, делать копии писем, уничтожать сообщения. Изучение содержания – способ пресечь нарушение режима коммерческой тайны.

Например, в одном банке работник направил со служебного адреса себе на личную почту данные по работе. Это обнаружили сотрудники службы безопасности компании. Работника уволили «по статье» (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Когда работник подал иск в суд, он настаивал, что разглашения информации не произошло.

Работник не передавал данные третьим лицам. Однако суд не согласился с мнением работника. Суд посчитал разглашением сам факт, что служебные данные оказались вне сферы контроля банка. Работодатель выиграл процесс, работника не восстановили (апелляционное определение Пензенского областного суда от 23.07.2013 по делу № 33–1854).

Запретите использовать личную электронную почту

Следует заметить, что обычно люди регистрируют личную почту на бесплатных почтовых сервисах. Такие сервисы стараются защитить данные переписки от внешних атак, но коммерческая компания способна предпринять меры усиленной информационной безопасности. Корпоративную почту защитить проще.

Предпишите персоналу использовать для работы только корпоративные средства связи. Если бесплатную почту работника взломают, содержание его переписки окажется у неопределенного круга лиц. Таким образом, работник может невольно поспособствовать утечке важной информации.

Лучше запретить пересылать служебные данные на личную почту.  

Помимо почты, работники пользуются личными телефонами. Чтобы помешать передаче служебной информации, ограничьте в положении о коммерческой тайне право пользоваться телефоном в рабочее время.

Разглашение конфиденциальной информации по интернету

Когда работники пользуются интернетом как средством связи, они нередко в рабочее время посещают социальные сети и другие посторонние ресурсы. Часть персонала пользуется социальными сетями напрямую по работе: это SMM-менеджеры и другие сотрудники отделов маркетинга.

Работу таких сотрудников следует контролировать, чтобы не допустить распространения служебной информации и появления ее в широком доступе. Работникам, которые не пользуются соцсетями по роду деятельности, лучше запретить посещать их в рабочее время с рабочих компьютеров и с личных устройств.

Получите согласие работника на обработку персональных данных

Когда компания контролирует поведение работника в интернете и посещение им разных сайтов, она получает его персональные данные. Подпишите с персоналом документ, что работники согласны на обработку таких данных.

Распространение конфиденциальных данных с помощью внешних накопителей

Работник может незаметно для окружающих скопировать те или иные данные на внешнее устройство – флешку или другой накопитель. Или ему понадобится сделать такую копию по работе. Компании сложно отследить дальнейшее перемещение такого накопителя.

В том числе, охраняемые данные могут оказаться у конкурентов. Чтобы пресечь такой способ нарушения режима коммерческой тайны, работодатель вправе запретить персоналу использовать личные устройства в рабочих целях.

А служебные устройства – выносить с территории компании без согласия работодателя.

Например, работник скопировал на флешку сведения о зарплате коллег. Работодатель провел служебную проверку, обнаружил нарушение и уволил работника.

В компании существовали списки лиц, которые вправе обрабатывать персональные данные сотрудников. Нарушитель не входил в список.

Работодатель выиграл трудовой спор, суд признал увольнение законным (апелляционное определение Московского городского суда от 04.08.2015 по делу № 33–24617/15).

  • Коммерческая тайна. Принципы защиты секретов от конкурентов

Коммерческая тайна. Что нужно для привлечения работника к ответственности за её разглашение

Источник: https://www.tspor.ru/article/2177-qqe-17-m4-04-04-2017-kak-pomeshat-razglasheniyu-konfidentsialnoy-informatsii

Коммерческая тайна. Как защитить конфиденциальную информацию

Как помешать разглашению конфиденциальной информации

Сохранение коммерческой тайны – головная боль топ-менеджеров многих российских компаний. Ее разглашение сулит массу проблем, начиная с потери ключевых клиентов и заканчивая ухудшением отношений с инвесторами и кредиторами.

Чтобы защитить конфиденциальную информацию и снизить риск ее разглашения, нужно определить, какие документы относятся к коммерческой тайне, разграничить права доступа к секретным данным и разработать политику информационной безопасности.

Используйте пошаговые руководства:

Казалось бы, все просто – важные документы нужно хранить в недоступном месте и беречь от посягательств конкурентов, но в реальности наибольшую угрозу для бизнеса представляет не враг извне, а собственные работники предприятия. Их халатность и неосмотрительность нередко становится причиной разглашения коммерческой тайны.

При этом главная ошибка, которую допускают многие руководители, заключается в отсутствии системного подхода к защите конфиденциальной информации. Чтобы подобного не произошло, важно следовать нескольким простым правилам. Их соблюдение не потребует от сотрудников предприятия значительных усилий, но поможет в борьбе с инсайдом и другими угрозами.

Перечень конфиденциальной информации

Чтобы снизить риски разглашения конфиденциальной информации компании, для начала следует оценить масштаб угроз и потерь от огласки (утраты) тех или иных сведений (документов). Такие подсчеты, пусть даже очень приблизительные, помогут финансовому директору убедить собственников бизнеса не скупиться на информационную безопасность.

Сведения, которые не могут составлять коммерческую тайну

Не все документы компании можно считать конфиденциальными. Перечень сведений, которые не могут относиться к коммерческой тайне, приводится в статье 5 закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

На втором этапе необходимо определить, какие именно данные относятся к коммерческой тайне.

При этом очень важно, чтобы перечень не содержал абстракций вроде «все документы финансового департамента», «информация о ценах» и тому подобных, а включал названия конкретных документов, представленных в электронном или бумажном виде. Данный список необходимо довести до сведения сотрудников финансовой службы.

Следующий шаг – обозначить места хранения и обработки конфиденциальной информации.

Например, указать, где должны храниться черновики договоров с контр­агентами и при каких обстоятельствах разрешается выносить их из кабинета юриста.

В некоторых случаях имеет смысл нанести на документы гриф «Коммерческая тайна» или «Секретно» и заказать для них сейф, ключи от которого будут храниться у ответственного руководителя.

Кроме того, необходимо составить список служащих, работающих с закрытой информацией, а также специалистов предприятия, которым она может передаваться для выполнения служебных обязанностей.

Права доступа к конфиденциальной информации

Всех сотрудников компании можно условно разбить на четыре группы:

  1. руководители высшего звена (владелец предприятия, президент, генеральный директор, финансовый директор);
  2. руководители среднего звена (начальники подразделений и дочерних предприятий);
  3. линейные менеджеры (специалисты отделов);
  4. обслуживающий и технический персонал (грузчики, уборщицы).

Очевидно, что все категории работников должны обладать разными объемами информации. Например, руководители «дочек» получают доступ лишь к тем данным, которые непосредственно касаются вверенных им компаний, а рядовые специалисты отделов владеют только той информацией, которая необходима им для выполнения профессиональных обязанностей.

Каналы утечки конфиденциальной информации

Одним из самых распространенных каналов утечки конфиденциальной информации остается интернет (см.

диаграмму), на него приходится около 44 процентов всех инцидентов, связанных с промышленным шпионажем и разглашением секретных сведений.

При работе в «глобальной пау­тине» очень велика вероятность подцепить программу-шпион, например клавиатурный считыватель (keylogger), которая фиксирует все нажатия на клавиатуру и направляет эти данные своему разработчику.

Кроме того, нельзя исключать риска хакерских атак. Чтобы этого не случилось, на всех рабочих компьютерах нужно установить антивирус и антишпион, а также ограничить права доступа в интернет для сотрудников финансовой службы. Это правило распространяется и на финансового директора компании. Для работы в интернете лучше заказать отдельный компьютер.

Основные каналы утечки конфиденциальной информации компаний, %

Отключенные от сети компьютеры также нуждаются в защите от несанкционированного доступа. Самый простой совет – закрыть доступ к технике паролем, не известным даже сотрудникам IT-службы, и обновлять его не реже одного раза в месяц. Съемные накопители, в свою очередь, остаются едва ли не главным источником всех бед компаний.

Потери или кражи сотрудниками флэшек и дисков с конфиденциальной информацией сегодня не редкость.

Чтобы избежать проблем в будущем, стоит сразу решить, кому из служащих компании в соответствии с занимаемой должностью можно открыть на рабочем компьютере USB-порт и прочие устройства для подключения внешних накопителей информации, а кому нет.

Отдельного внимания заслуживают бумажные копии документов. Говоря об информационной безопасности, топ-менеджеры о них нередко забывают.

Между тем, в 7,4 процента случаев секреты предприятий становятся достоянием конкурентов и общественности из-за халатного отношения к бумажной документации.

Как этого избежать? Во-первых, составить список ответственных за хранение документов (первички, отчетов) специалистов финансовой службы. В противном случае проконтролировать, кто из них и когда взял документы, невозможно.

Можно, например, завести специальную учетную книгу и указывать в ней подобные сведения. Во-вторых, не использовать общий принтер для распечатки не предназначенных для посторонних глаз сведений. В-третьих, пропускать всю выбрасываемую бумагу через шредер. В-четвертых, выходя из кабинета, пусть даже на несколько минут, закрывать его на ключ.

Как свидетельствует практика, даже очень подробного перечня конфиденциальной информации для защиты секретов компании недостаточно, поэтому здесь не обойтись без соответствующего положения.

Кто именно должен участвовать в его разработке – до сих пор единого мнения в этом вопросе не существует. В каждом конкретном случае все зависит от масштабов деятельности компании, количества сотрудников и других факторов.

Главное, не перекладывать эту обязанность исключительно на плечи ИТ-специалистов.

В идеале политика безопасности должна стать результатом совместного творчества главного финансиста, коммерческого директора, начальника ИТ-службы и руководителей функциональных подразделений и дочерних компаний. С разработанным положением необходимо ознакомить всех служащих предприятия (под роспись).

Ответственность за нарушения в работе с конфиденциальной информацией

Чтобы уберечь важные данные от посторонних, одних регламентов недостаточно. Любые внутренние правила время от времени нарушаются, особенно если за это не предусмотрены штрафные санкции.

Ответственность за несоблюдение установленных регламентов лучше прописать и в должностных инструкциях работников, и в трудовом договоре. Кроме того, на многих предприятиях с сотрудниками в обязательном порядке подписывается дополнительное соглашение о неразглашении конфиденциальной информации.

Причем оно действует не только в период действия трудового договора, но и в течение 3-5 лет после увольнения.

Кроме того, не лишним будет провести разъяснительные работы и объяснить подчиненным, чем обернется для них невнимательное отношение к секретам компании. Например, штрафами или дисциплинарной ответственностью.

Согласно статье 243 ТК РФ, за разглашение конфиденциальных сведений работник несет материальную ответственность в полном размере причиненного ущерба.

В соответствии со статьей 81 ТК РФ работодатель имеет право его уволить.

Также стоит акцентировать внимание подчиненных и на том, что компания может привлечь виновного к административной и уголовной ответственности. Ведь согласно российскому законодательству, если работника уличили в преднамеренном сборе информации, ему грозит штраф или до трех лет лишения свободы (ст.

183 УК РФ). Правда, учитывая, что вопрос ответственности за разглашение коммерческой тайны в российском законодательстве проработан очень плохо, на судебные разбирательства могут уйти годы. И в этом случае нет гарантии, что работодателю удастся доказать вину служащего и компенсировать свои потери.

Полезный материал? Сохраните страницу в закладки, распечатайте или переадресуйте коллегам. 

Источник: https://www.fd.ru/articles/37981-kak-sohranit-kommercheskuyu-taynu-kompanii

ПравБаза
Добавить комментарий