December
2016
Способы защиты информации в компании
"Не выкрадут вместе с забором…"
Один из самых распространенных способов защиты информации можно (условно) назвать физическим, поскольку его цель – создать препятствия для проникновения к источникам сведений тех, кому эти сведения знать не положено. Проще говоря, не пустить в помещение (здание, этаж, кабинет). Издавна средствами защиты информации служат высокие стены, крепкие двери и ворота. Большинство компаний используют для этого пропускную систему: у сотрудников есть электронные или магнитные карточки, которые позволяют им беспрепятственно проходить в здание и в комнаты. Посетителям в бюро пропусков или на посту охраны выдают временные пропуска (либо такие же, как у сотрудников, либо бумажные). Небольшие компании, однако, могут экономить и обходиться без людей в форме у входа: сотрудники сами встречают посетителей и проводят их. Разумеется, крупным компаниям с большим количеством визитеров такая экономия неудобна.
Сюда же можно отнести и различные хранилища для документов: сейфы, металлические шкафы и т.п. Как правило, такие шкафы есть в отделе кадров (для хранения трудовых книжек), у директора и его заместителя, финансового директора или главного бухгалтера. В них могут находиться, разумеется, и печати компании, а также ценности (деньги).
Многие компании, однако, не ограничиваются надежными замками, сейфами и пропускной системой с охранниками, а устанавливают дополнительно еще и видеокамеры, причем не только в здании, но и за его пределами, чтобы было видно огражденную территорию вокруг него.
В ночное время от проникновения злоумышленников офисы защищают сигнализацией, но некоторые компании имеют круглосуточную охрану.
Закон суров к болтунам
Действующее законодательство РФ охраняет в сфере бизнеса, прежде всего, два основных вида информации: это, с одной стороны, персональные данные сотрудника, а с другой – сведения, представляющие собой коммерческую тайну. За разглашение и тех и других предусматривается ответственность – от дисциплинарной и административной до уголовной.
Комментарий юриста
Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX
Разглашение охраняемой законом тайны – популярное основание для увольнения сотрудников. Зачастую это становится формальным поводом для расторжения трудового договора с работником, нежелающим расставаться "полюбовно", либо при отсутствии у работодателя весомых доказательств какого-нибудь более серьезного нарушения трудовой дисциплины. Известны случаи, когда суды признавали законным увольнение сотрудника только за то, что тот отправлял документы фирмы на личную электронную почту.
Что касается персональных данных, то их защита регулируется главой 14 ТК РФ. Во-первых, она регламентирует, какие конкретно данные и каким образом вправе собирать работодатель. Так, сотрудники отдела кадров не имеют права выяснять, состоит ли сотрудник в какой-либо общественной или профсоюзной организации. Что еще более важно, они не должны без разрешения сотрудника собирать персональные сведения о нем "на стороне", то есть расспрашивать не его лично, а его знакомых, бывшего работодателя и т.д. в том числе, в соцсетях. Более того, такой сбор возможен лишь в том случае, если персональные данные иначе никак нельзя получить.
Разумеется, компания обязана тщательно хранить сведения, полученные от работников. Доступ к ним могут иметь только специально уполномоченные лица, при этом необходимо учитывать, какие конкретно данные и для чего необходимы данному лицу. При этом работодателю запрещено предоставлять личные данные сотрудника другим компаниям или частным лицам в коммерческих целях, не заручившись его письменным разрешением.
Порядок обработки и хранения сведений, предоставленных сотрудниками, в компании должен быть строго регламентирован. Работникам должны быть представлены под роспись документы, в которых закреплены эти правила.
Сотрудник при этом может просматривать информацию, которую он о себе предоставил, обновлять или корректировать ее, а также копировать. Сотрудники также имеют право знать, каким образом обрабатываются их персональные данные.
Коммерческую тайну надо тщательно охранять
Еще один аспект информации, защищаемый законодательством – это конфиденциальные сведения самой компании. К ним относятся коммерческая тайна и инсайдерская информация (инсайд, как говорят участники рынка). Часто эти понятия совпадают, но не всегда.
Коммерческая тайна – это те сведения, которые могут помочь компании увеличить выручку или же избежать ненужных расходов, а также закрепить свое положение на рынке. К ним могут относиться различные изобретения, как запатентованные, так и без патентов, секреты производства, ноу-хау, а также придуманные компанией методы управления финансами, маркетинговые стратегии, сохраняемые в секрете от конкурентов.
Не менее тщательно компании охраняют от посторонних глаз и закрытую финансовую документацию, поскольку она также представляет ценность для конкурирующих фирм (см. также, как убедиться в сохранности данных при передаче расчета зарплаты на аутсорсинг).
Беречь коммерческую тайну компаниям помогает законодательство, карающее тех, кто решит ею поделиться. Так, статья 183 УК РФ гласит, что разглашение тайны сотрудником без ведома компании может лишить его одного миллиона рублей или же дохода за два года. Не менее неприятными последствиями могут стать принудительные или исправительные работы, не говоря уже о тюремном заключении (до трех лет). Если компании болтливость сотрудника нанесла крупный ущерб, то наказание будет более суровым: штраф до полутора миллионов или до трехлетнего заработка, а тюремный срок – до пяти лет. Особо ретивые конкуренты также могут пострадать: за кражу документов или же подкуп либо угрозы в адрес чужих сотрудников, владеющих коммерческой тайной, им придется расплатиться полумиллионным штрафом, либо также отработать в пользу государства (до двух лет), либо потерять свободу на тот же срок. Впрочем, в исключительных случаях закон еще более суров и предусматривает даже семилетнее тюремное заключение.
Разумеется, чтобы следственные органы могли установить факт нарушения закона, а суд – покарать преступника, компания должна четко определить, какие же сведения составляют коммерческую тайну, и тщательно беречь ее. То есть информационная политика компании должна быть четко продуманной и регламентированной. Для этого нужно принять правила обращения с секретными документами, определить, кто имеет право доступа к ним. Ответственность за разглашение коммерческой тайны прописывается в трудовых договорах с сотрудниках, а также в соглашениях с контрагентами. Обычно в таком документе указывается срок, в течение которого ее надо хранить в секрете. Доступ к информации, которую компания хотела бы не раскрывать посторонним, могут иметь представителя самых разных профессий и должностей – от переводчика до маркетолога, от секретаря до финансового директора. Компания также может разработать положение о коммерческой тайне.
Комментарий юриста
Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX
Режим коммерческой тайны необходим для того, чтобы сохранить ценную информацию в секрете. Однако потребность в нем еще более возрастает, если компания намеревается поделиться своим секретом с третьими лицами. Так, передавая свое ноу-хау по лицензионному договору, компания прежде должна убедиться, что режим установлен в организации в полном соответствии с законом. В противном случае компания рискует остаться и без ноу-хау, и без денег.
Помимо коммерческой тайны сотрудники могут иметь доступ к профессиональной информации, которая также является секретной. Законодательство считает, что такие сведения обычно используют в работе врачи, адвокаты, нотариусы. Профессиональные тайны также охраняются законом (ст. 13 ФЗ от 21.11.2011 N 323-ФЗ, ст. 53 УПК РФ и другие документы)
Инсайд запрещен
Инсайдерская информация (или попросту инсайд) – это те сведения, которые могут повлиять на стоимость ценных бумаг компании и повлиять на ситуацию на рынке, если будут обнародованы. Неудивительно, что компании делают все возможное, дабы не допустить утечку этой информации или злоупотребление ею. Наказание за злоупотребление инсайдом не так давно было четко прописано в российском праве, а именно, в Федеральном законе от 27.07.2010 N 224-ФЗ. Сведения, относящиеся к инсайду, закон не определяет, а описывает лишь круг лиц, которые могут владеть такой информацией. Список инсайдеров довольно большой, но, как правило, это руководство компаний, влиятельные акционеры, а также организаторы торгов и прочие лица, осуществляющие операции с ценными бумагами и финансовыми инструментами по поручению клиентов. Для обслуживающих организаций перечень инсайда установлен Банком России, а вот руководство компании вправе составить свой список таких данных.
Итак, что же грозит тем, кто решил не сохранять тайну инсайда и поделиться ею либо же заработать на ней? Вышеуказанный закон предусматривает следующие штрафы:
-
для граждан – 3–5 тыс. рублей;
-
для ответственных за принятие решений сотрудников –30–50 тыс. рублей или дисквалификацию до двух лет;
-
для организаций и компаний – от 700 тыс. и вплоть до суммы, на которую был превышен доход (уменьшены убытки) по сравнению с ситуацией, при которой злоупотребления инсайдом бы не было.
Впрочем, указанные наказания не означают, что инсайдер, который решит обогатиться за счет доступных ему сведений, отделается столь сравнительно невысоким штрафом. Если инсайдер совершит благодаря владению такой информацией сделки с финансовыми инструментами или с валютой, которые принесут ему более 3 млн 750 тыс. рублей, или же даст рекомендации кому-то купить (либо продать) финансовые инструменты и валюту, что приведет к возникновению дохода у продавца (покупателя) в том же размере, то сумма штрафа окажется весьма существенной и может дойти до полумиллиона рублей (или заработка за три года) либо даже тюремным сроком до четырех лет. Если же нечестный инсайдер передаст (читай: продаст) такую информацию посторонним лицам, и они получат особо крупный доход, то он может быть наказан на сумму до миллиона рублей или оказаться в тюрьме на срок до шести лет.
Комментарий юриста
Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX
На практике одним из наиболее действенных методов защиты секретов фирмы является демонстративное увольнение сотрудника, грубо нарушившего правила обращения с секретной информацией. При наличии доказательств злого умысла работника (например, в случае "слива" инсайда конкурентам) компания может обратиться в правоохранительные органы для возбуждения уголовного дела. Такое развитие событий неизбежно станет достоянием коллектива и послужит сдерживающим фактором для других потенциальных нарушителей.
Компьютеры: строим "стены"
Главный предмет в современном офисе – это, безусловно, компьютер. В нем хранится множество самых разных данных, необходимых сотрудникам для работы, большинство из них являются конфиденциальными. Неудивительно, что защита компьютера – одна из важнейших задач ИТ-специалистов, ведь потеря данных может дорого обойтись компании в самом прямом смысле. Если точнее, то системным администраторам приходится решать сразу несколько задач: защищать компьютерную сеть от сбоев, которые могут привести к потере данных, от несанкционированного вторжения "чужаков", а также обеспечивать беспрерывный доступ к информации тех, кто имеет право ее использовать.
Рассмотрим сначала, из-за чего ценная информация может исчезнуть из компьютеров или подвергнуться нежелательной модификации. Такие неприятности могут возникнуть из-за перебоев электропитания, проблем с "железом", а также некорректной работы ПО: его ошибок (неправильная установка или обновление) или же заражения ПК вирусом или троянским конем. Проблемы, связанные с картами, серверами, кабелями и т.п. компании научились решать весьма неплохо. А вот предупреждать заражение вирусами на сегодняшний день на 100% эффективно не удается, пожалуй, никому.
Безусловно, вряд ли сейчас найдется фирма-"камикадзе", которая не установила на свои компьютеры антивирусные программы (а лучше – несколько) или не пользуется firewall для защиты информации от внешних угроз и атак. Существуют и специальные инструменты, препятствующие внедрению шпионских программ, способных считать конфиденциальную информацию. Но и хакеры не дремлют, совершенствуя и разрабатывая все новые и новые вирусы и хакерские программы, поэтому чувствовать себя в полной информационной безопасности не может никто. Тем не менее, любой компании важно понимать, что на защищающем ПО экономить не стоит – это тот случай, когда скупой может заплатить даже не дважды, а много раз.
Чтобы обеспечить конфиденциальность информации, системные администраторы, как правило, ставят пароли на компьютерах. На практике, однако, такая мера нередко оказывается фикцией: забывчивые сотрудники приклеивают стикеры с паролем от своего ПК на стол или на монитор. Поэтому помимо установки паролей на вход в компьютер (а иногда и на подключение к корпоративной почте) необходимо разъяснять сотрудникам специфику их генерирования и хранения и контролировать исполнение предписаний.
Комментарий юриста
Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX
Внедряя режим коммерческой тайны, мы иногда рекомендуем клиентам рассмотреть те или иные IT-решения в этой сфере, так как вопрос защиты информации требует комплексного подхода. Это справедливо и для обратной ситуации: приобретая IT-решение, всегда необходимо привлекать к процессу юристов (внешних или внутренних) для того чтобы соблюсти требования законодательства и впоследствии иметь возможность привлечь нарушителей к ответственности. Случается, что правовой аудит системы информационной безопасности выявляет упущения, которые могли быть легко исправлены на этапе проектирования или внедрения системы. Внесение же изменений в уже полностью функционирующий продукт, как правило, обходится компании дороже, не говоря уже о рисках, о существовании которых компания может не подозревать до первого серьезного инцидента.
Есть компании, в которых до сих пор использовать интернет (либо же определенные программы, например, ICQ) имеют право не все сотрудники, для получения доступа необходимо разрешение руководства. С точки зрения защиты информации данную меру вряд ли можно назвать очень эффективной. В некоторых компаниях сотрудники информационного отдела выборочно просматривают корпоративную почту персонала в том числе с целью контроля за распространением сведений.