чем опасно использование технических носителей конфиденциальной информации
Утечка информации, или Как организации уберечь себя от мошенничества в сети
Основатель компании Alpha Juris, юрист
специально для ГАРАНТ.РУ
Цифровые технологии с каждым днем все больше проникают во все сферы человеческой деятельности. Поэтому перед многими руководителями достаточно острым стоит вопрос хранения и передачи данных в сети, а также обеспечения безопасности от утечки информации в цифровом поле.
Под утечкой информации подразумевается незаконное получение либо передача защищенных сведений (таких, как персональные данные, коммерческая, государственная тайна и пр.). Утечка информации может быть как умышленной, так и непредумышленной (случайной), что не отменяет вины лица или группы лиц, причастных к этому. Поскольку данное правонарушение является достаточно обобщенным, может касаться наиболее разных видов информации, иметь различные субъективные и объективные стороны, нет точной статьи, регулирующей его.
Но при этом факт утечки является составным элементом иных правонарушений, установленных:
Из СМИ нам не понаслышке известно о разных примерах утечек, например, в 2020 году в сеть, утекли паспортные данные более 1,1 млн россиян, принимавших участие в голосовании по поправкам к Конституции РФ. А годом ранее общественности была представлена информация об утечке данных пользователей портала «Госуслуги».
Однако законодательство на сегодняшний день никак не регулирует способы защиты от утечки информации, поэтому как крупным организациям, так и представителям МСБ следует самостоятельно изучить наиболее возможные способы защиты от данной угрозы.
Работа с сотрудниками как способ защиты от утечки информации
Насколько банально это может показаться, но, согласно статистическим исследованиям «Лаборатории Касперского», более 60% корпоративных данных попадает не в те руки именно из-за действий самих работников компании без преднамеренного вмешательства. Причем зачастую это происходит именно из-за невнимательности либо халатности сотрудников. Так, наиболее примечательными примерами в данном случае могут быть:
Многие даже крупные компании зачастую пренебрегают обучением IT-культуре собственных работников, ограничиваясь лишь такими формальностями, как заключение соглашения о неразглашении коммерческой тайны и персональных данных. Руководству в первую очередь следует разъяснить персоналу важность кибер-безопасности, провести соответствующий обучающие тренинги самостоятельно либо с привлечением сторонних специалистов.
Например, в ноябре 2020 года произошла утечка данных программы лояльности «РЖД Бонус». Причиной тому стала халатность сотрудника, который оставил информацию в открытом доступе.
Работодателям следует установить дисциплинарную ответственность за утечку информации в ТК РФ. Напомним, ст. 192 Трудового кодекса установлено три вида дисциплинарных взысканий – замечание, увольнение, выговор, а для государственных служащих еще и предупреждение о неполном должностном соответствии (ч. 1 ст. 57 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»). При этом в локальных нормативных актах необходимо не просто указать причину применения наказания «за утечку информации», а максимально детально изъяснить все возможные факторы.
Если говорить о сотрудниках, то также достаточно распространенной причиной утечки данных являются и преднамеренные действия. Чаще всего это происходит из-за отсутствия мотивации у работников, харрасмента со стороны коллег либо руководства, а также неправомерного увольнения. Способы защиты для руководителей в данном случае схожи с описанными выше – поддержание корпоративной культуры, материальная и нематериальная мотивация сотрудников и соблюдение требований трудового законодательства.
Если же правонарушение все-таки было совершено и повлекло негативные последствия, следует обращаться в правоохранительные органы с целью привлечения виновного к административной либо уголовной ответственности.
На сегодняшний день утечка информации участилась из-за введенных в результате пандемии COVID-19 ограничительных мер. Так, многие работодатели, которые перевели сотрудников на дистанционную работу, не обеспечили должным образом сохранность конфиденциальной информации, например, не предоставив им рабочие ПК, а предоставив возможность трудиться на личных.
Как защититься от утечки информации при помощи кибербезопасности
Далеко не всегда утечка данных в организации происходит исключительно из-за действий работников, часто виной этому становится слабая защищенность именно с технической точки зрения. Способов защиты в данном случае множество, следует выделить лишь основные из них:
Вышеописанный перечень является далеко не исчерпывающим, однако при соблюдении этих требований руководителям бизнеса будет значительно проще обезопасить себя от утечки ценной информации.
Конфиденциальные сведения и ноу-хау: вводим режим коммерческой тайны в организации
Что такое ноу-хау?
Конфиденциальная и иная ценная информация компании в России защищается как специальный объект интеллектуальной собственности – секрет производства (ноу-хау). Пункт 1 ст. 1465 Гражданского кодекса признает секретом производства (ноу-хау) любые сведения (производственные, технические, экономические, организационные и другие) о результатах интеллектуальной деятельности в научно-технической сфере и о способах осуществления профессиональной деятельности. Но для этого ноу-хау должно отвечать следующим требованиям:
Что дает бизнесу ноу-хау?
Надеемся, что секреты вашей компании уже приносят вам доходы, иначе бы вы не заинтересовались их защитой и не начали читать этот материал. Здесь мы сосредоточимся на дополнительных выгодах, которые дает правовая защита ноу-хау.
Во-первых, снижение рисков от человеческого фактора. Если в компании никак не защищаются секреты производства, то любой работник или третье лицо, получивший доступ к вашим секретам может безнаказанно разгласить их компаниям-конкурентам, либо распространить их в отношении широкого круга лиц, и привлечь его к ответственности за такое разглашение будет невозможно. Максимум, что можете сделать вы как работодатель в данных ситуациях – лишить работника поощрительных выплат и предпринять попытку уволить его, тем самым защитив свою будущую интеллектуальную собственность. Но такие способы защиты уже не восстановят коммерческую ценность разглашенных секретов, и не позволят вам взыскать компенсацию с работникам в денежном (или ином) эквиваленте. Напротив, введение ноу-хау позволит привлекать таких недобросовестных работников и других лиц к ответственности, в том числе взыскивать с них компенсации. Риск вместе с работой и деловой репутацией потерять несколько миллионов рублей останавливает готового к проступку работника, а знание, что защищенный секрет будет сложно реализовать без последствий для покупателя, вовсе отваживает от недобросовестных поступков.
Во-вторых, имущественный актив. Ноу-хау является нематериальным активом компании, который имеет стоимость и вносится на бухгалтерский баланс как нематериальный актив и ценен уже в силу его наличия. Например, у вас есть уникальная технология или даже просто клиентская база. Оформив их надлежащим образом в качестве объектов ноу-хау, вы повышаете стоимость своей компании в соответствии со стоимостью этих объектов. Сколько стоит ноу-хау? Это зависит от его коммерческой применимости и конкурентных преимуществ, которые предоставляет ноу-хау. Оценка может производиться гибко, с учетом специфики конкретного объекта правовой охраны.
В-третьих, оптимизация налогообложения. Как имущественный нематериальный актив, поставленный на бухгалтерский баланс, ноу-хау позволяет оптимизировать налоги посредством, например, амортизации (приказ Минфина России от 27 декабря 2007 г. № 153н «Об утверждении Положения по бухгалтерскому учету «Учет нематериальных активов» (ПБУ 14/2007).
В-четвертых, легальный дополнительный источник доходов. Ноу-хау можно совершено легально передать иному лицу по договору отчуждения или предоставить его использование по лицензии (франшизе), тогда как незащищенные секреты реализовать указанными выше способами можно только вне правового поля с соответствующими рисками.
В-пятых, широта охвата предметов защиты. Помимо ноу-хау, интеллектуальная собственность бывает разная: товарные знаки, патенты, селекционные достижения, объекты авторского права. Однако их недостаток не только в том, что нужно разглашать их коммерческую сущность при регистрации в уполномоченных органах или организациях, но и в том, что круг сведений, охраняющихся в качестве ноу-хау, значительно шире, чем круг сведений, которые могут охраняться другими объектами интеллектуальной собственности. Если у вас есть информация, и вы не обязаны ее разгласить по закону, то вы можете обеспечить ее защиту как ноу-хау в тех пределах, представляющихся вам достаточными и необходимыми. Так можно защитить незапатентованное изобретение, клиентскую базу, технологии работы, рецепты, формулы, маркетинговые стратегии на интересующих рынках и другие виды информации.
Наконец, озвученные выгоды внедряются быстро, не требуют больших вложений и действуют бессрочно. Срок правовой охраны ноу-хау не ограничен. По сути, его правовая охрана длится до тех пор, пока составляющие его сведения не перестали быть конфиденциальными. Не существует государственной регистрации ноу-хау, поэтому введение режима коммерческой тайны, необходимый для защиты ноу-хау, можно осуществить даже за один день, в отличие, например, от изобретения и полезной модели, которые патентуются не один год и разглашают при регистрации. Введение режима коммерческой тайны в организации – это пакет документов и комплекс технических мер, не требующие больших материальных затрат.
Как защитить ноу-хау режимом коммерческой тайны?
Первое – ввести режим коммерческой тайны в организации:
Второе – поддерживать режим коммерческой тайны на уровне документооборота:
Третье – фиксировать факты:
Четвертое – контролировать соблюдение конфиденциальности информации:
при помощи технических мер – расширенный список мер, которые максимизируют эффективность:
организационные меры: введение функций контроля в должностные обязанности руководителей, контролеров, ревизоров, аудиторов, системных администраторов, работников служб безопасности.
Судебная практика показывает, что ненадлежащее введение режима коммерческой тайны (постановление Суда по интеллектуальным правам от 16 ноября 2017 г. по делу № А33-28905/2016) или неприемлемая фиксация юридически значимых фактов (апелляционное определение Московского городского суда от 18 сентября 2013 г. № 11-28840, определение Московского городского суда от 16 декабря 2014 г. № 33-40501/2014) является основанием для отказа в привлечении работника, разгласившего секретные сведения, к какой-либо ответственности. Будьте внимательны к соблюдению всех четырех пунктов, перечисленных выше.
Любой бизнес нуждается в комплексной защите, особенно в защите коммерчески важной и конфиденциальной информации от разглашения ее сотрудниками компании. В обратном случае компания может потерять всю ценную и конкурентно важную информацию, если ее сотрудник решит эту информацию украсть или использовать в новой компании, куда будет трудоустраиваться в будущем. Для того чтобы защитить секретную информацию необходимо оформить потенциально прибыльные сведения в виде такого результата интеллектуальной деятельности, как ноу-хау и ввести в отношении него режим коммерческой тайны. Введение режима коммерческой тайны в организации обусловлено практической целью – созданием нематериального имущественного объекта, который будет являться активом компании, а также защита от разглашения данных сведений, которая влечет за собой крупные конкурентные, а следовательно и финансовые потери.
О том, какие практические действия предпринять, если работник все же нарушил режим коммерческой тайны, поговорим в следующей колонке.
Перечень сведений конфиденциального характера
Перечень конфиденциальной информации на предприятии — это список закрытых от посторонних сведений. В их число, как правило, входят коммерческая информация, персональные и профессиональные данные (последние два вида определены федеральными законами).
Какие сведения входят
Как правило, реестры конфиденциальных данных предприятия состоят из нескольких видов закрытых материалов. Разделы о коммерческой тайне и персональных данных присутствуют в перечнях всех организаций, они составляются по нормам законов №98-ФЗ и №152-ФЗ. Сведения профессионального характера вносятся в номенклатуру в соответствии с профилем деятельности конкретной фирмы. Доступ к ней ограничен специальными законами: о банковском деле, об адвокатуре и пр.
Как утвердить перечень
Реестр в большинстве случаев состоит из двух разделов — коммерческой тайны и информации, доступ к которой ограничен законодательно.
1. Официально утвержденного перечня конфиденциальных сведений в области коммерческой тайны не существует. Каждая организация сама устанавливает, к каким материалам следует ограничить доступ третьих лиц. Чаще всего закрывают данные о:
2. Информация, доступ к которой ограничивается законом. Сюда относятся персональные данные, материалы профессионального характера, налоговая, банковская, адвокатская, нотариальная, врачебная, аудиторская и прочие виды тайн.
Чтобы понять, какое назначение имеет перечень конфиденциальных сведений предприятия, необходимо руководствоваться практическими соображениями и требованиями закона:
На предприятии надо составить и оформить перечень конфиденциальных сведений фирмы и ограничить их распространение. Для этого разрабатываются локальные нормативные акты и проводятся организационные мероприятия, определенные ст. 10 закона №98-ФЗ:
Мероприятия, устанавливающие режим конфиденциальной информации, регламентируются положением, инструкцией или регламентами. Документационное оформление зависит от установленных в организации правил документооборота. Для введения в действие документа издается приказ об утверждении перечня сведений конфиденциального характера. С его содержанием надо ознакомить всех причастных к тайне сотрудников.
Кто имеет доступ
Работников, получивших доступ, знакомят с реестром и мерами, обеспечивающими режим конфиденциальности, под роспись. Лиц, допущенных к информации, относящейся к перечню конфиденциальности, определяет руководитель. Обычно это список должностей, который оформляется приложением к приказу или отдельным пунктом в инструкции или положении. Сотруднику обеспечиваются условия для сохранения тайны: специальная мебель, запирающиеся шкафы и пр. Допуск к сведениям ограниченного доступа, если он не предусмотрен трудовым договором, предоставляется с согласия служащего.
Ответственность за нарушение
Работники или контрагенты, разгласившие перечень информации, относящейся к конфиденциальной информации, несут ответственность:
Правовое регулирование конфиденциальной информации
Защита данных
на базе системы
И нформация представляет собой сведения, которые регламентированы правовыми нормами. Существует два вида информации: сведения, находящиеся в открытом и в ограниченном доступе. Между открытой и конфиденциальной информацией имеются принципиальные различия. Распространение конфиденциальной информации создает угрозу экономической безопасности и наказывается в соответствии с действующим законодательством.
Понятие и виды конфиденциальной информации
Согласно Федеральному закону Российской Федерации «Об информации, информационных технологиях и о защите информации» № 149-ФЗ, сведения делятся на два вида:
Понятие конфиденциальной информации
В широком смысле слова, конфиденциальная информация – это сведения с ограниченным доступом. В узком смысле, конфиденциальная информация имеет особую ценность для лиц, пребывающих на государственной службе или работающих в организации.
Законодатель раскрывает понятие «конфиденциальность информации» в Федеральном законе «Об информации» № 149-ФЗ. Согласно ст. 2 закона, к данным ограниченного доступа относятся сведения, которые не могут быть переданы третьим лицам без согласия на это обладателя данных.
Конфиденциальная информация представляет собой определенную тайну, поскольку она доступна только нескольким категориям лиц, имеющим право и доступ на работу с ней. Охрана и правовая защита конфиденциальных данных гарантирована государством и закреплена в Конституции РФ. В основном законе РФ указано, что гражданин, организация и государство, имеют право на тайну.
Основными источниками правового регулирования конфиденциальной информации в РФ являются:
Виды конфиденциальной информации
Конфиденциальная информация делится на несколько видов в зависимости от содержания и от того, в каком кругу используется:
1. Служебная тайна.
Согласно Указу Президента № 188 «Об утверждении Перечня сведений конфиденциального характера», под служебной тайной понимают информацию, имеющую особую ценность, доступ к которой ограничивается государственными органами РФ в соответствии с действующим законодательством.
Информация, являющаяся служебной тайной, также регулируется положениями Постановления Правительства РФ № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».
В указанном Постановлении закреплены правовые положения о работе с информацией, составляющей служебную тайну:
2. Коммерческая тайна.
В соответствии со ст. 3 Федерального закона «О коммерческой тайне» № 98-ФЗ, под коммерческой тайной понимается режим ограничения использования, передачи и распространения информации, которая позволяет ее обладателю получить материальную или нематериальную выгоду.
Обладание чужой коммерческой тайной позволяет конкурентам увеличить прибыль, избежать лишних расходов, получить привилегии на рынке товаров и услуг.
Согласно закону № 98-ФЗ, сведениями, составляющими коммерческую тайну, могут быть результаты интеллектуальной деятельности, научно-техническая информация, которая представляет собой особую коммерческую ценность для организации.
Ценность коммерческой тайны заключается в том, что она известна лишь определенному кругу лиц и недоступна третьим лицам. Примером коммерческой тайны может служить производство по уникальной технологии какой-либо продукции.
Законодатель, помимо прочего, указывает, какие сведения не могут признаваться коммерческой тайной:
3. Персональные данные.
Федеральный закон «О персональных данных» № 152-ФЗ поясняет, что можно считать персональными данными. Исходя из ст. 3 закона, персональные данные – это любые сведение относящиеся (прямо или косвенно) к субъекту персональных данных, то есть физическому лицу.
Согласно закону, получение, обработка, хранение и иные действия с персональными данными физического лица, производятся только с согласия последнего.
При этом лицо, которое занимается обработкой персональных данных, не имеет права разглашать сведения, которые ему предоставляет гражданин. В исключительных случаях допускается передача таких данных, если физическое лицо лично дает на это согласие, либо это предусмотрено действующим законодательством.
4. Тайна уголовного судопроизводства.
В Уголовно-процессуальном кодексе РФ (УПК РФ), закреплено положение, которое запрещает разглашать сведения, касающиеся уголовного дела на стадии предварительного расследования.
Следователь или дознаватель обязан сообщить участникам уголовного судопроизводства о недопустимости разглашении сведений по уголовному делу, о чем составляется соответствующая расписка.
Однако в ст. 161 УПК РФ говорится о том, что в исключительных случаях данные предварительного расследования могут предать гласности с разрешения лиц, ведущих расследование. Также, законодатель отмечает, что информация, которая может быть оглашена, не должна противоречить интересам следствия и участников уголовного судопроизводства.
При этом запрещается разглашение сведений, которые содержат информацию о частной жизни участников уголовного дела, а также несовершеннолетних граждан, которые не достигли возраста 14 лет.
5. Судебная тайна.
В судопроизводстве также существует конфиденциальная информация, которая называется судебная тайна. В любой отрасли права (административной, гражданской и уголовной) законодатель закрепляет принцип ее соблюдения.
Сущность данного принципа состоит в следующем:
6. Профессиональная тайна.
Профессиональная тайна есть практически в каждой профессии: врач, адвокат, нотариус, психолог. Для каждого специалиста существует особое понятие профессиональной тайны, которая регламентированное в различных правовых актах.
Например, адвокаты руководствуются Федеральным законом № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». В ст. 8 закона указано, что адвокатской тайной признаются сведения, которые стали известны адвокату при оказании юридической помощи своему доверителю. При этом недопустим допрос адвоката по обстоятельствам, которые стали ему известны в ходе профессиональной деятельности.
Аналогичные правовые положения закреплены для нотариусов, врачей и иных специалистов, получающих сведения, которые не подлежат разглашению. Каждый сотрудник, который получает доступ к данным, подписывает документ о неразглашении сведений.
Защита конфиденциальной информации
Для того чтобы не произошла утечка конфиденциальной информации, необходимо предпринимать соответствующие меры, которые препятствовали бы этому. Законодатель закрепил правовые положения о защите данных в Федеральном законе «Об информации, информационных технологиях и защите информации» № 149.
Также существует несколько правовых способов защиты сведений ограниченного доступа. Законодательное регулирование по вопросам, связанным с защитой сведений ограниченного доступа, заключается также в закреплении юридической ответственности за разглашение такой информации.
Защита информации
Как упоминалось выше, положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в ФЗ № 149. В соответствии с законодательством, под защитой информации понимается:
Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации:
Для защиты критичных данных существуют следующие виды защиты:
Ответственность за правонарушения в сфере информации
Согласно ст. 17 Федерального закона № 149, за нарушение требований, установленных для конфиденциальных сведений, наступает юридическая ответственность.
Правовые нормы закрепляют следующие виды ответственности:
Правовое регулирование конфиденциальной информации помогает обеспечивать ее сохранность и защиту. При этом гарантом защиты являются сразу несколько нормативных актов, регулирующих правовые вопросы, касающиеся сведений ограниченного доступа.
Защита и обработка конфиденциальных документов
Автор статьи:
Гончаров Андрей Михайлович
Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством (Указ президента РФ «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188 с изм. и доп.), в том числе, — персональные данные; сведения, составляющие тайну следствия и судопроизводства; служебная тайна; профессиональная тайна; коммерческая тайна; интеллектуальная собственность.
Конфиденциальные документы
Конфиденциальные документы – документированная конфиденциальная информация. Может быть представлена в виде документов на бумажном носителе и/или в электронном виде (электронный документ, электронные образы документов).
Система внутреннего документооборота, как объект защиты документированной конфиденциальной информации, представляет собой совокупность каналов санкционированного распространения конфиденциальной документированной информации в процессе деятельности организации пользователями этой информации.
Основной характеристикой движения информации является технологическая комплексность, а также защищенность.
Порядок и маршруты потоков конфиденциальных документов на бумажном носителе и электронных документов в инфраструктуре организации, включая информационную инфраструктуру организации, должны быть документированы и регламентированы для того, чтобы процесс восстановления работоспособности системы документооборота, включая электронный, производился максимально быстро.
Комплекс мер, необходимый для защиты информации
Для организации работы по охране документированной конфиденциальной информации необходимо осуществление комплекса мер, включающих в себя:
Защита документированной информации в документопотоках обеспечивается комплексом разнообразных мер юридического, режимного, технологического и контрольного характера. Перемещение документа в процессе выполнения каждой стадии, процедуры его обработки и/или исполнения обязательно сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя и конфиденциальность информации.
Технологический процесс учета конфиденциальных документов включает в себя ряд процедур, обязательных для любого вида учета и любого типа обработки и хранения этих документов. В процессе учета, распределения, рассмотрения, передачи поступивших документов исполнителям и возврата документов выполняется комплекс технологических и ограничительных операций, позволяющих обеспечить физическую сохранность документа и его частей, а также предотвратить разглашение и утечку информации, содержащейся в документе.