Копирование конфиденциальной информации

Содержание
  1. Способы несанкционированного доступа к конфиденциальной информации
  2. Использование инициативы 
  3. Вербовка сотрудников 
  4. Выведывание информации 
  5. Подслушивание 
  6. Наблюдение 
  7. Хищение информации 
  8. Копирование данных 
  9. Подделка и модификация информации 
  10. Уничтожение и удаление данных (документов)
  11. Подключение 
  12. Перехват информации 
  13. Частичное ознакомление с информацией 
  14. Фотографирование информации 
  15. Легальные методы получения конфиденциальной информации 
  16. Увольнение за разглашение коммерческой тайны | Сам себе адвокат
  17. Пересылка информации на личную электронную почту
  18. Копирования конфиденциальной информации на флешку
  19. Условия законности увольнения за разглашение коммерческой тайны
  20. Конфиденциальная информация: как защитить корпоративные данные
  21. Источники конфиденциальной информации
  22. Угрозы конфиденциальной информации
  23. Каналы утечки конфиденциальной информации (через организацию деятельности)
  24. Каналы утечки конфиденциальной информации (через технические средства)
  25. Каналы утечки конфиденциальной информации (через человеческий фактор)
  26. 7 важных мер по защите информации
  27. Подготовительные мероприятия: что нужно сделать для настройки системы защиты
  28. На что обратить внимание
  29. 5 принципов информационной безопасности
  30. Запомнить
  31. Защита конфиденциальных данных, средства защиты конфиденциальной информации
  32. Средства защиты конфиденциальной информации
  33. Организация защиты конфиденциальных данных
  34. Техническая защита конфиденциальных сведений
  35. Конфиденциальность персональных данных: какую информацию разглашать запрещено и что бывает за нарушение данных прав?
  36. Степень ответственности виновных
  37. Последствия неверного определения режима конфиденциальности информации

Способы несанкционированного доступа к конфиденциальной информации

Копирование конфиденциальной информации

Под способами несанкционированного доступа к конфиденциальной информации принято понимать различные методы, с помощью которых злоумышленник может получить ценные данные организации, являющиеся конфиденциальными. 

Для удобства представим все распространенные способы в виде следующего перечня:

  1. Использование инициативы со стороны инсайдеров.
  2. Привлечение к сотрудничеству.
  3. Выведывание данных.
  4. Подслушивание.
  5. Тайное чтение документов. 
  6. Кража данных. 
  7. Несанкционированное копирование. 
  8. Подделка.
  9. Подключение.
  10. Перехват.
  11. Фотографирование.
  12. Частичное ознакомление.
  13. Легальные методы.

Также отдельно можно выделить уничтожение информации, как серьезную угрозу деятельности организации. Рассмотрим каждый из перечисленных способов подробнее. 

Использование инициативы 

Злоумышленнику нетрудно воспользоваться инициативой сотрудника, недовольного сложившейся в организации ситуацией.

Практика показывает, некоторые сотрудники либо остро нуждаются в денежных средствах, либо готовы предоставить конфиденциальную информацию ради удовлетворения алчности.

Важно понимать, что использование инициативы злоумышленником основывается не только на финансовой мотивации. Нередки случаи предоставления секретных сведений ради мести руководству из-за обид. 

Для получения ценной информации конкуренты могут использовать не только высокопоставленных лиц или значимых специалистов, но и рядовых сотрудников. 

Вербовка сотрудников 

Вербовка и подкуп сотрудников – часто длительный процесс. Агенты конкурирующих фирм могут месяцами собирать информацию о работнике, членах его семьи.

Это позволяет найти наиболее эффективный способ сотрудничества и сделать из такого сотрудника собственного агента, работающего в интересах конкурирующей фирмы.

Нередко для склонения инсайдера к сотрудничеству собирают компрометирующие сведения, используют угрозы, психологическое воздействие, грубые и агрессивные методы запугивания. 

Также нередки случаи использования мягких способов получения засекреченных данных. Злоумышленники, стремясь подступиться к специалисту, могут работать не напрямую, и передавать денежные средства через сторонних лиц и даже известных личностей, занимающихся общественной деятельностью. 

Выведывание информации 

Способы выведывания информации часто носят изощренный характер. Распространена практика переманивания специалистов путем создания ложных вакантных мест. Вакансия публикуется для заманивания специалиста в ловушку.

Характерной особенностью такого приема является обещание больших премий, льгот, высокого уровня дохода. Уже на испытательном сроке новичку предлагают заработную плату, вдвое превышающую его оклад в компании конкурента.

В ходе собеседования новичка принимают с распростертыми объятиями и обещают хорошо вознаграждать за старания. 

Многие специалисты с готовностью заглатывают крючок и охотно демонстрируют «ноу-хау», делятся знаниями и опытом, полученными в своей фирме. По окончании испытательного срока сотруднику дают отказ, получив от него всю необходимую информацию. 

Другой способ выведывания информации – попытка трудоустройства. Фирма конкурента отправляет своего агента с целью выведывания информации, которую тот получает в ходе собеседования. Таким образом, можно узнать о текущих проблемах компании, определить «болевые точки», узнать об используемых стратегиях и т.д. 

Самый эффективный метод выведывания информации – общение с родственниками, друзьями, знакомыми инсайдеров. В связи с этим каждый сотрудник, имеющий доступ к важной информации, должен сформировать правильную политику общения с окружением и культуру поведения в повседневной жизни. 

Подслушивание 

Подслушивание относится к наиболее популярным способам добычи ценной информации. Подслушивание осуществляется следующими методами:

  • путем использования радиозакладок и миниатюрных диктофонов; 
  • путем использования программного обеспечения для получения значимых сведений в ходе телефонных переговоров, передачи радиосигналов;
  • путем использования различной техники, улавливающей (перехватывающей) аудиосигнал.

Практикуется также подслушивание при тайном присутствии. Для предупреждения утечки информации применяются устройства, заглушающие передачу сигнала за счет создания радиопомех.

Однако такие устройства не помогут предотвратить запись разговора на миниатюрный диктофон, который незаметно устанавливается в непосредственной близости. Приборы, с помощью которых выполняется подслушивание, представляют собой хитроумные приспособления.

Чаще всего злоумышленники предпочитают проводить подслушивание в общественных местах. Например, кафетериях. Подслушивающее или записывающее разговор устройство может быть легко закреплено на теле и оставаться незаметным. 

Наблюдение 

Наблюдение за объектом позволяет получить много ценных сведений. Как и в случае подслушивания, данный способ предполагает применение различных технических приспособлений. Самым распространенным устройством наблюдения и слежения остается фотоаппарат.

Наблюдение может вести как один, так и несколько человек. При групповом наблюдении один, реже два наблюдателя всегда находятся в непосредственной близости и информируют остальную группу о текущей ситуации.

Данный способ используют для выяснения особенностей поведения сотрудника, маршрутов его передвижения, другой важной информации.

Таким способом устанавливают факт подготовки организации к различного рода мероприятиям. 

Вести слежку можно как днем, так и ночью. Современные системы позволяют следить за объектами при низком уровне освещения. Слежение можно выполнять на больших расстояниях. Даже в условиях практически полной темноты на расстоянии примерно одного километра наблюдатель легко сможет определить нужный объект и опознать человека.

Отслеживание местоположения объекта является важной частью слежки. Обычно для упрощения наблюдения на объект устанавливают радиомаяки. Если слежка ведется за человеком, приборы закрепляют на его автомобиле.

Устройства слежения отличаются компактными размерами и зачастую остаются незаметными. Их можно вмонтировать в фары автомобиля, замаскировать на деревьях, на земле. Некоторые приборы замаскированы под предметы гардероба (ремни, шляпы).

Хищение информации 

Наилучшим способом предотвращения кражи данных компании остается установление постоянный контроль за сотрудниками. Примерно 80% людей не станут красть важные документы, поскольку это противоречит их морали. Искореняя соблазн выкрасть ценные сведения, можно обезопасить организацию от хищения конфиденциальной информации. 

Контролировать местонахождение конфиденциальных документов в файловой системе предприятия поможет «СёрчИнформ FileAuditor».  

Копирование данных 

Копирование информации выполняется различными способами, в том числе с помощью технических средств. Защита от копирования электронной информации разработана давно, однако сделать ксерокопию ценных документов способен каждый сотрудник организации. Поэтому необходимо устанавливать контроль за пользованием копировальных аппаратов.

Подделка и модификация информации 

Подделать информацию злоумышленники могут с целью получения секретных данных. Подделке часто подвергаются письма, счета, бухгалтерская документация. 

Подделке и модифицированию информации предшествует промышленный шпионаж, широко представленный во многих странах мира.

Один из видов подделывания данных представляет собой прямую фальсификацию, когда подделываются смс-сообщения с целью получения конфиденциальных сведений.

Но наибольшее распространение в этом отношении получили компьютерные вирусы, способные модифицировать программное обеспечение для хищения документов и информации. 

Уничтожение и удаление данных (документов)

На сегодня известно немало случаев применения диверсионных методов, когда ценная информация уничтожается (удаляется) любыми доступными способами. Уничтожение нередко приобретает криминальный и даже террористический характер.

Для удаления ценных сведений могут использоваться специальные программы-вирусы, называемые «логическими бомбами». Так, в педагогическом центре Израиля (г.

Хайфа) такой вирус уничтожил разрабатываемое программное обеспечение, на работу с которым суммарно было затрачено более 7 000 часов. 

Подключение 

Подключение выполняется контактными и бесконтактными методами. Злоумышленники могут подключиться с целью получения информации к линии периферийных устройств больших и малых ЭВМ, линиям радиовещания, линиям залов совещаний, диспетчерских, линиям передачи данных. Возможно даже подключение к линиям питания и заземлению, оптоволоконным сетям. 

Бесконтактное подключение можно провести на огромном расстоянии от объекта. Для этой цели могут быть использованы, например, кольцевые трансформаторы.

Перехват информации 

Для перехвата информации могут использоваться следующие типы устройств:

  • панорамные анализаторы; 
  • антенные усилители широкополосного типа; 
  • оконечная аппаратура; 
  • антенные системы. 

Ресиверы могут перехватывать информацию, распространяемую с помощью электромагнитных волн (сверхдлинные и короткие). Диапазон охвата необычайно широк.

Современные средства перехвата позволяют устанавливать радиоконтакт на расстоянии нескольких десятков тысяч километров.

Опасность перехвата заключается в том, что даже без полной расшифровки полученной информации, злоумышленники могут сделать важные выводы о деятельности организации. 

Частичное ознакомление с информацией 

Получить доступ к информации конфиденциального характера зачастую оказывается невозможно. Однако даже частичное ознакомление с ней может удовлетворить интересы злоумышленника.

Случайный или намеренно раскрытый документ, попавший на глаза посетителю, оставленный включенным монитор с отображением важных сведений – перечень ситуаций велик.

Воспользоваться таким методом получения информации легко при частых нарушениях производственной дисциплины в организации. 

Для частичного ознакомления могут использоваться и тонкие оптоволоконные кабели с микрокамерами. Такой кабель можно легко пропустить через замочную скважину. 

Особенно опасны лица, обладающие развитой зрительной (фотографической) памятью. Известны случаи, когда агентам конкурирующих фирм для запоминания важных данных было достаточно только одного взгляда на документы.

Неоднократно такого рода краже подвергались лекала известных дизайнеров и модельеров, рабочий процесс которых видели якобы случайные посетители.

Важно понимать, что злоумышленники с хорошей зрительной памятью проходят специальные курсы для быстрого выстраивания логической цепочки и построения выводов, что позволяет им не только запомнить ценные сведения, но и мгновенно раскрыть используемые стратегии, планы.

Фотографирование информации 

Получение информации путем фотографирования позволяет злоумышленникам оставаться незаметными. В настоящее время существуют объективы и фотоаппаратура, способные делать снимки на расстоянии нескольких сотен метров и в результате получать хорошо читаемое изображение.

Фотографирование в инфракрасном диапазоне дает возможность получить данные с документами, в которые были внесены исправления и даже восстановить информацию при чтении обгоревших документов.

Фотокамера может быть вмонтирована в часы, замаскирована под кошелек, зажигалку, портсигар, а новейшие устройства выполняются в виде пластиковых карт. 

Легальные методы получения конфиденциальной информации 

Большинство компаний предпочитают сбор информации легальными методами. Для этого сотрудники могут посещать различные официальные мероприятия.

Далее путем мозгового штурма и совместной работы делать широкомасштабные выводы, позволяющие раскрыть важные планы и стратегии конкурентов.

Сбор данных производится через торговых партнеров конкурирующей фирмы, клиентов, поставщиков, подрядчиков, членов профсоюзов, практикантов. Тесные связи с информационными изданиями и журналистами также помогают добыть ценные сведения.

Увольнение за разглашение коммерческой тайны | Сам себе адвокат

Копирование конфиденциальной информации

Зачастую работники пересылают сведения, содержащие коммерческую тайну, сами себе — с корпоративного почтового ящика на свой личный ящик, зарегистрированный на одном из бесплатных сервисов. с целью поработать с документами на дому. Работодатели часто закрывают глаза на такие нарушения.

Действительно, отправка информации с рабочей на личную электронную почту вряд ли может свидетельствовать о предоставлении доступа к коммерческой тайне третьим лицам.

Однако необходимо помнить, что при электронной пересылке работник допускает разглашение секретных сведений как минимум одному постороннему лицу — почтовому агенту, который вправе изменять (модерировать) или удалять любую публикуемую пользователем информацию, включая личные сообщения и комментарии. Таким образом, почтовый агент становится обладателем информации, пересылаемой пользователями через почтовый ящик.

На практике работодатели не берут в расчет эти обстоятельства. Претензии к работникам возникают из-за самого факта пересылки на личную почту сведений, отнесенных в компании к коммерческой тайне.

На случай спора пригодятся локальные акты с нормами о запрете использования внешних (личных, не корпоративных) адресов электронной почты для обмена определенной информацией. Также понадобится документ (отдельное соглашение или трудовой договор) с условием о неразглашении конфиденциальной информации.

В него включают обязательство не делать несанкционированные выписки и копии (включая магнитные носители) документов, содержащих коммерческую, банковскую тайну.

Все эти меры в последующем помогут суду определить, какие действия с точки зрения работодателя являются разглашением сведений, которые он желает защитить.

Пересылка информации на личную электронную почту

В компаниях с разветвленной сетью обособленных структурных в локальном акте целесообразно оговорить особые условия приема-передачи секретной информации, например, с использованием защищенных каналов связи. За невыполнение требования — дисциплинарная ответственность, вплоть до увольнения по статье, особенно, если работник не ограничился только своей почтой, а отправил сведения и по другим адресам.

Работодателю необходимо ознакомить работника с режимом коммерческой тайны (включая перечень секретной информации и перечень должностей, имеющих доступ к ней). Создать работнику необходимые условия для соблюдения им этого режима. Нанести на конфиденциальные документы гриф «Коммерческая тайна» Получить у работника письменное обязательство о неразглашении сведений.

Копирования конфиденциальной информации на флешку

Факт копирования информации на съемный носитель подтверждается свидетельскими показаниями или данными программы, контролирующей действия пользователей компьютеров. Подобное поведение нередко становится причиной увольнения работников.

Для выполнения должностных обязанностей работодатель предоставляет работнику оборудованное рабочее место. Когда сотрудник с помощью компьютера занимается личными делами и общением в соцсетях, то у руководителя есть все основания выразить недовольство.

Если устные беседы не возымели действия, то нужно переходить к более жестким мерам — взысканию. В этом поможет локальный акт, где будет прописано следующее, что работник вправе использовать предоставленное работодателем оборудование только для выполнения должностных обязанностей и ему запрещено использовать корпоративную почту для личной переписки.

В акте внутренней проверки следует описать возможные негативные последствия для компании от неправомерных действий работника. Например, создание реальной угрозы безопасности информационным системам из-за риска заражения компьютера вирусом и опасность разглашения конфиденциальной информации.

Судебная практика по этой категории споров неоднозначна. Исход дела во многом зависит от трех факторов: вида взыскания, намерений работника в отношении скопированной информации и содержания локальных актов. Суды проверяют, установлен ли в них запрет на копирование информации на внешние носители.

..

Когда копирование файлов сопровождается пересылкой конфиденциальной информации по электронной почте третьим лицам, то у работодателя появляется основание для увольнения работника. В такой ситуации критерии разглашения коммерческой тайны, перечисленные в п. 9 ст. 3 Закона № 98-ФЗ, присутствуют.

Когда у работодателя нет доказательств передачи сведений с коммерческой тайной третьим лицам, но факт копирования файлов на флешку подтвержден, то целесообразно ограничиться выговором или замечанием. Несколько подобных взысканий и работник также может быть уволен по п. 5 ч. 1 ст. 81 ТК РФ (неоднократное неисполнение обязанностей).

Шансы на выигрыш дела у работодателя повышаются, если работник дал письменное обязательство не копировать документы компании.

К разглашению сведений, составляющих коммерческую тайну, приводят не только действия работников, но и их бездействие.

Как правило, это связано с нарушением процедур, предусмотренных работодателем для соблюдения режима коммерческой тайны.

Иными словами, работники забывают или игнорируют правила, прописанные с целью исключить доступ к секретным сведениям других сотрудников компании, конкурентов и просто посторонних лиц.

Например, работник, который работает за компьютером, покидает рабочее место без блокировки доступа к системе, а сотрудник, работающий с секретными бумагами, забывает убрать их от посторонних глаз. Приводит это к печальным последствиям и для работодателя (потеря доверия контрагентов, клиентов), и для работника (увольнение по статье, сложности с поиском другой работы).

Условия законности увольнения за разглашение коммерческой тайны

1. Работник разгласил сведения, относящиеся к коммерческой тайне2. Эти сведения стали известны ему при исполнении трудовых обязанностей3. Работник обязывался эти сведения не разглашать.4.

Перечисленные факты работодатель должен доказать в суде.

Конфиденциальная информация: как защитить корпоративные данные

Копирование конфиденциальной информации

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд.

Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру.

Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).
  • Документы материальные и представленные в электронном виде.
  • Технические средства носителей информации и их обработки.
  • Выпускаемая продукция.
  • Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

  • Утечка информации.
  • Искажение информации.
  • Утеря информации.
  • Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.
  • Запросы из государственных органов.
  • Проведение переговоров с потенциальными контрагентами.
  • Посещения территории предприятия.
  • Документооборот.
  • Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

  • Акустический канал утечки информации.
  • Визуальный канал.
  • Доступ к компьютерной сети.
  • Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).
  • Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Курс «Специалист по информационной безопасности» в Русской школе управления

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.
  • Оптимизировать защищаемые информационные потоки.
  • Определить формы представляемой информации.
  • Установить виды угроз защищаемой информации и варианты их реализации.
  • Установить, кому может быть интересна защищаемая информация.
  • Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?
  • Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.
  • Определить сроки актуальности защищаемой информации.

На что обратить внимание

  • Использование гаджетов на территории предприятия.
  • Удаленный доступ к информации.
  • Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.
  • Настройка программного оборудования (особенно после обновления).
  • Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.
  • Разграничение доступа к информации.
  • Дробление информации на части.

5 принципов информационной безопасности

  1. «Принцип системности».

    К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

  2. «Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

  3. «Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

  4. «Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

  5. «Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

  • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
  • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
  • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
  • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Защита конфиденциальных данных, средства защиты конфиденциальной информации

Копирование конфиденциальной информации

2 декабря 2019 Защита информацииПерсональные данные

ГК «Интегрус» предлагает услуги по защите конфиденциальных данных, коммерческой информации и ноу-хау разработок для предприятий.

Для каждой компании, имеющей доступ в Интернет, использующую информационные системы для своей работы, разрабатывается пакет собственных нормативных документов, ИТ-решений, обеспечивающих безопасность на всех уровнях.

Конфиденциальная информация (данные) – это такая информация, доступ к которой ограничен согласно требованиям законодательства или нормами организации (предприятия). Требуют применения мер защиты следующие виды конфиденциальных данных:

  • личные – касающиеся частной жизни граждан, в том числе персональные данные (ПНд), за исключением сведений, подлежащих распространению в СМИ;
  • служебные – то, что можно отнести к категории служебной тайны;
  • судебные – любые сведения о судьях, должностных лицах контролирующих и правоохранительных органов, потерпевших, свидетелей, участников уголовного судопроизводства, а также любая информация из личных дел осужденных, о принудительном исполнении судебных актов;
  • коммерческие – это коммерческая тайна, плюс сведения об изобретениях, полезных моделях, промышленных образцах до официальной публикации информации по ним предприятием (ноу-хау, технологии производства, секреты разработки и т.д.);
  • профессиональные – врачебная, нотариальная, адвокатская тайна, тайна телефонных переговоров, почтовых сообщений, переписки, телеграфных и иных видов сообщений.

В своей работе мы обычно имеем дело с защитой служебной, коммерческой, профессиональной и личной конфиденциальной информации. Защита данных и сведений в организации строится на трех уровнях:

  • ограничение несанкционированного доступа (с целью модификации, изменения, уничтожения, копирования, распространения и прочих неправомерных действий):
      • замки, двери, решетки на окнах, сигнализация и т.д. — любые средства, ограничивающие физический доступ к носителям информации;
      • генераторы шума, сетевые фильтры и другие устройства, перекрывающие или обнаруживающие каналы утечки информации.
  • разграничение доступа для сотрудников (персонала) организации клиента;
  • реализация прав доступа для работников предприятия.

Защита конфиденциальных данных предполагает проработку таких решений для ИТ-инфраструктуры, чтобы иметь возможность:

  • своевременного обнаружения фактов несанкционированного доступа к информации;
  • снижения уязвимости технических средств обработки и хранения информации;
  • оперативного восстановления поврежденной, модифицированной информации;
  • предупреждения о последствиях несанкционированного доступа к конфиденциальным данным.

В отношении личной конфиденциальной информации, персональных данных, нами также осуществляется контроль размещения баз данных на территории России.

Средства защиты конфиденциальной информации

Все средства и мероприятия, нацеленные на защиту конфиденциальной информации, базируются на трех уровнях:

  1. Правовой, обеспечивающий единый госстандарт по информационной защите, но не нарушающий права пользователей. Уровень регламентируется Законом РФ «Об информации, информатизации и защите информации», подзаконными актами РФ, внутриорганизационными положениями о защите конфиденциальной информации, определяющими работу с «закрытой» документацией. На этом уровне от нас требуется так выстроить информационную систему и решения по ее защите, чтобы не нарушить права пользователей и нормы обработки данных.
  2. Организационный, упорядочивающий работу с конфиденциальной документацией, определяющий степени и уровни доступа пользователей в информационные системы, носителями информации. Этот уровень предотвращает утечку сведений по халатности или небрежности персонала, сводя его к минимуму.
    • Сюда относятся архитектурно-планировочные мероприятия и решения, структурирование систем запросов и выдача допусков на пользование Интернетом, корпоративной электронной почтой, сторонними ресурсами.
    • Права на получение и использование подписи в электронном цифровом виде, следование корпоративным и морально-этическим правилам, принятым внутри организации, также являются важными составляющими защиты конфиденциальных данных.
  1. Технический уровень защиты конфиденциальной информации включает подуровни – аппаратный, криптографический, программный, физический.

Организация защиты конфиденциальных данных

Организационные мероприятия по защите конфиденциальной информации начинаются с разработки регламента работы пользователей с информационной системой и информацией в ней. Правила доступа разрабатываются нашими специалистами совместно с руководством предприятия, службой безопасности.

Уровни правовой и организационной защиты данных являются неформальными средствами защиты информации.

Кроме административных (организационных) регламентов и законодательных (правовых) норм сюда можно отнести и морально-этические правила.

Наша задача на административном уровне – пресечь, сделать невозможными повреждения или утечки данных вследствие нерадивости, халатности или небрежности персонала.

Решение поставленной задачи достигается за счет комплекса административных и технических мероприятий:

  • разграничение и реализация прав доступа к конфиденциальным сведениям;
  • защита переговорных комнат, кабинетов руководства от прослушки;
  • оформление службы запросов на доступ к информационным ресурсам (внутренним и внешним);
  • получение и обучение работы с электронными цифровыми подписями (ЭЦП).

Техническая защита конфиденциальных сведений

Физический, аппаратный, программный и криптографический уровни обеспечения защиты конфиденциальных данных относятся к формальным средствам. Это софт и «железо».

Физический способ предполагает поддержание работы механизмов, являющихся препятствием для доступа к данным вне информационных каналов: замки, видеокамеры, датчики движения/излучения и т.п. Это оборудование действует независимо от информационных систем, но ограничивает доступ к носителям информации.

Аппаратными средствами безопасности считаются все приборы, монтируемые в телекоммуникационных или информационных системах: спецкомпьютеры, серверы и сети организации, система контроля работников, шумовые генераторы, любое оборудование, перекрывающее возможные каналы утечек и обнаруживающее «дыры» и т.д.

Программные средства представляет комплексное решение, предназначенное для обеспечения безопасной работы (пример – DLP и SIEM системы, блокирующие возможную утечку данных и анализирующие реальные сигналы тревоги от устройств и приложений сетевого характера):

  • DLP (Data Leak Prevention, предотвращение утечки данных) – средства для пресечения утечки данных, модификации информации, перенаправления информационных потоков;
  • SIEM (Security Information and Event Management, управление событиями и информационной безопасностью) – анализ в режиме реального времени сигналов об угрозах, ведение журнала данных, создание отчетов. SIEM представлены приложениями, приборами, программным обеспечением.

Криптографическая (математическая) защита позволяет безопасно обмениваться данными в глобальной либо корпоративной сетях. Математические преобразованные, шифрованные каналы считаются оптимально защищенными. Но стопроцентной защиты никто гарантировать не может!

Криптография (шифрование) данных считается одним из самых надежных способов – технология сохраняет саму информацию, а не только доступ к ней. Средства шифрования обеспечивают защиту физических и виртуальных носителей информации, файлов и каталогов (папок), целых серверов.

Средства криптографической защиты конфиденциальной информации требуют внедрения программно-аппаратного комплекса:

  • с использованием криптопровайдеров (программных компонентов шифрования);
  • организацией VPN;
  • применением средств формирования, контроля и использования ЭЦП.

При внедрении систем шифрования данных следует заранее продумать их совместимость с иными системами (включая внешние).

Техническая защита конфиденциальной информации в организации требует проведения аттестации – набора организационных и иных мероприятий, достаточных для безопасной работы с конфиденциальными данными. Аттестация базируется на требованиях и рекомендациях ФСТЭК, применяется для защищаемых помещений и автоматизированных систем.

Отсутствие или недостаточное внимание к одной из составляющих защиты конфиденциальной информации на предприятии может закончиться тем, что внутренние данные окажутся достоянием мошенников. Обеспечивая информационную безопасность, необходимо всегда использовать комплексные меры, учитывающие множественность способов защиты.

чтобы получать чек-листы, реальные кейсы, а также
обзоры сервисов раз в 2 недели. Антивирусные средства защиты информации

Как осуществляется защита информации предприятий от вирусов. Средства администрирования, организационные мероприятия, ограничение доступа, установка и настройка средств антивирусной защиты.

Организация защиты конфиденциальных данных

Организация данных и информации на предприятии – какие мероприятия требуется провести, как составить их план, кого назначить ответственным. Построение эффективной системы защиты информации и персональных данных на предприятии.

Защита информации базы данных

Способы защиты информации базы данных – технология защиты, информационная безопасность предприятий, разработка мер и методов.

Конфиденциальность персональных данных: какую информацию разглашать запрещено и что бывает за нарушение данных прав?

Копирование конфиденциальной информации

Конфиденциальная информация – это личные сведения с ограниченным доступом. Подобные данные бывают разных видов, но все они защищаются законодательством. Сотрудники, которые имеют к ним доступ, обязаны сохранять секретность и не допускать огласки. Тем более, они сами не должны разглашать подобную информацию даже в кругу семьи.

Виды конфиденциальных сведений:

  1. Персональные данные физического лица. К ним можно отнести все, что касается событий и фактов частной жизни.
  2. Служебная тайна. К ней имеют доступ только государственные сотрудники, занимающие определенную должность. Сюда можно отнести налоговую тайну, сведения об усыновлении и т.д.
  3. Профессиональная тайна. Она охраняется Конституцией России, и о ней известно ограниченному числу людей, исполняющему профессиональный долг.
  4. Личные дела осужденных за преступления.
  5. Коммерческая тайна. Эти сведения необходимо хранить для того, чтобы защитить юридическое лицо от конкуренции, или для получения выгоды.
  6. Сведения о судебных решениях и их исполнении в рамках производства.
  7. Тайна следствия и судопроизводства. Сюда можно включить сведения о пострадавших и свидетелях, которые нуждаются в государственной защите. Также в секрете держатся данные о судьях и работниках правоохранительных органов.

Данная информация является конфиденциальной, и она не подлежит разглашению. Необходимо соблюдать конфиденциальность подобных сведений с целью защиты интересов физических и юридических лиц.

Неразглашение является необходимостью, потому как огласка может привести к тяжелым последствиям. Например, к банкротству фирмы, публичному осуждению человека, опасности, возникшей для свидетелей и потерпевших.

Если сотрудник допустит распространение информации, тогда его имеют право наказать в зависимости от тяжести нарушения.

Для допуска сотрудника к секретным данным потребуется подписать договор о неразглашении.

Потому как на основании этого документа можно будет призвать к ответственности, если работник не будет соблюдать свои обязанности относительно сохранности данных.

Конкретного образца для соглашения нет, однако должны присутствовать все важные пункты, такие как обязанности сторон и ответственность за разглашение.

Важно! Сотруднику рекомендуется предварительно ознакомиться со всеми пунктами и только потом подписывать документ. Если соглашение частично или полностью не устраивает, тогда не стоит ставить свою подпись.

Но также нужно понимать, что без нее нельзя получить доступ к секретной информации. В любом случае, стоит обсудить сложившуюся ситуацию лично с начальством, чтобы решить вопрос с договором.

Каждый человек или организация имеют право, а в ряде случаев просто обязаны, предпринять все доступные меры к охране конфиденциальной информации. К примеру, организация может потребовать удовлетворения иска относительно разглашения секретных данных только в том случае, если её руководством были приняты все разумные меры к её сохранности.

К таким мерам относятся:

  • Хранить документацию, содержащую конфиденциальные данные в закрытых помещениях с ограниченным доступом или в сейфах.
  • Электронные данные должны защищаться паролями или электронными ключами доступа.
  • Все подобные документы должны быть промаркированы грифами «секретно», «только для внутреннего пользования». Это как к печатной, так и к электронной документации.
  • В трудовом договоре, заключаемом с сотрудниками организации, должен быть прописан отдельный пункт о сохранении корпоративной тайны.
  • Внутренним приказом должен быть определён круг работников, которым разрешён доступ к закрытой информации и несущих ответственность за сохранность тайны.

Разглашение конфиденциальной информации и персональных данных подразумевает преступные действия, или же бездействие определённого лица, имеющего к ним доступ, в результате чего закрытая информация попала в распоряжение третьих лиц без разрешения на то её правообладателя. В качестве примера разглашения закрытых данных можно привести:

  • Единовременная передача сотрудником коммерческой информации компании-конкуренту за определённое вознаграждение.
  • Предоставление доступа к закрытым данным злоумышленникам. При этом доступ может быть предоставлен как умышленно, из корыстных побуждений, так и нечаянно, в результате халатного отношения работником к своим обязанностям.
  • «Излишняя болтливость» работника, в результате чего секретные данные становятся известны окружающим.
  • Регулярное тайное хищение закрытых сведений с целью их продажи и получения иных выгод. Сюда относится такое преступление, как «промышленный шпионаж», который может квалифицироваться как уголовное деяние.

В случае несанкционированного разглашения закрытых данных пострадавшее лицо вправе обратиться за защитой в правоохранительные или судебные органы. При этом заявитель должен будет доказать в судебном порядке наличие факта разглашения данных.

В качестве доказательной базы может выступать:

  • Факт пересылки сотрудником электронной документации третьим лицам. Зафиксировать это можно с помощью системных администраторов компании, отследив IP-адреса отправителя и получателя.
  • Свидетельские показания других работников компании.
  • Обнаружение у сотрудника копий конфиденциальных документов, сделанные им по собственной инициативе без соответствующего распоряжения начальства.
  • Записи камер видеонаблюдения, на которых работник без разрешения вынимает документы из хранилища, передаёт их кому-либо, снимает с них копию, фотографирует.
  • Косвенные признаки. Например, когда установлен явный факт утечки, в то время как доступ к информации имел только один человек.

Российское законодательство предусматривает за подобное преступное деяние целый комплекс различных наказаний, в зависимости от вида проступка и его последствий:

  • Дисциплинарное взыскание. Назначается нерадивому служащему в соответствии с решением руководства. Это может быть лишение премиальных выплат, выговор, замечание, а в крайнем случае – увольнение по статье КЗоТа. Постановление о наложении дисциплинарного взыскания должно быть оформлено законным образом в виде внутреннего приказа по организации.
  • Административное взыскание. Подобная ответственность может налагаться в случае разглашения конфиденциальных данных как личного, так и коммерческого характера. Под действие административного кодекса не подпадает только разглашение сведений, составляющих гос.тайну. Максимальное наказание, предусмотренное административным кодексом за подобное правонарушение – наложение штрафа до 10 000 руб.
  • Уголовное наказание. Под действие УК РФ может подпадать целый спектр деяний, связанных с разглашением секретной информации. Это может быть опубликование неких данных личного характера, промышленный шпионаж или же разглашение государственной тайны. В отличие от прочих правовых кодексов, подпадание правонарушения в сферу юрисдикции уголовного кодекса может означать наказание в виде реального тюремного срока.
  • Гражданская ответственность. Наступает в ряде случаев, как в виде самостоятельного наказания, так и в виде сопутствующего взыскания. Примером подобного взыскания может служить вынесение судебными органами решения о возмещении пострадавшему морального вреда.

Любой вид законного наказания может назначаться только в результате соответствующего судебного постановления. То есть, для наложения на виновника разглашения взыскания, потребуется доказать, что в утечке данных виноват именно он.

Вообще, разглашение конфиденциальной информации и персональных данных, является преступленным деянием весьма сложного состава.

При рассмотрении и ведении подобных дел очень часто допускаются различные ошибки относительно правоприменения статей законодательства.

Ещё сложнее бывает пострадавшему защитить свои законные интересы.

В этом случае необходимо правильно определить состав преступления, правильно подготовить исковое заявление, собрать всю необходимую доказательную базу.

Всё это бывает крайне сложно произвести гражданину, далёкому от юридической практики. Лишь обратившись за помощью к квалифицированному специалисту, можно получить всю необходимую информацию по существу проблемы.

https://www.youtube.com/watch?v=oxu0b87wMJUu0026t=48s

Также опытному юристу можно доверить вести своё дело в суде «под ключ», предоставив ему сбор всей необходимой документации и право представления в инстанциях. Подобный вариант не только позволит сберечь множество нервов, сил и времени, но также существенно увеличит шансы на благоприятный исход тяжбы.

Степень ответственности виновных

За разглашение лицами конфиденциальной информации на законодательном уровне в пределах РФ предусматривается несение следующих видов ответственности:

  • Дисциплинарная;
  • Административная;
  • Уголовная.

Дисциплинарная заключается в различных действиях со стороны работодателя по отношению к сотруднику, виновному в том, что конфиденциальная информация стала известна широкому кругу лиц. Это может быть дисциплинарное взыскание, замечание, увольнение.

Такие действия со стороны начальства могут иметь место только в том случае, если имеется доказательная база причастности сотрудника к утечке информации.

В противном случае работник может обжаловать те санкции, которые были применены к нему, и уже работодатель может быть оштрафован за превышение полномочий.

Статья 13.14 Кодекса об административных правонарушениях (КоАП) рассматривает ответственность за правонарушение, относящееся к намеренному разглашению информации или действиям лиц, которые неумышленно привели к разглашению данных.

Наказание за подобные действия будет выражаться в необходимости выплаты штрафа в размере от 500 до 1000 рублей для граждан, не относящихся к определенным учреждениям или организациям, и от 4000 до 5000 рублей для должностных лиц.

Наиболее тяжелым видом наказания будет являться привлечение виновного к уголовной ответственности.

Для того, чтобы действия субъекта рассматривались статьей УК РФ, необходимо, чтобы разглашению подверглась банковская, коммерческая или налоговая тайна. Кроме того, если привлечение к ответственности будет осуществляться по статье 183 УК РФ, даже получение или сбор такой информации должен осуществляться незаконным путем.

Мера наказания может варьироваться от несения обязательства выплаты штрафа в размере до 500 тыс. рублей до лишения свободы сроком до 7 лет.

В случае, если разглашение информации привело к определенным последствиям в виде падения акций одной из компаний, такие действия могут классифицироваться статьей 185.6 УК РФ и мера наказания будет выражаться в оплате штрафа в размере от 300 тыс. до 1 млн. рублей или запрете трудоустройства на определенные должности в течение 4 лет.

Та информация, которая отнесена к конфиденциальной, защищена от разглашения сторонним лицам. При наличии факторов, свидетельствующих о том, что определенные действия граждан или должностных лиц привели к ее распространению, виновные привлекаются к ответственности и определяемая мера наказания зависит от степени их вины и последствий разглашения.

Одного только факта утверждения перечня сведений, составляющих коммерческую тайну организации, недостаточно для признания их конфиденциальными данными (если они не отнесены к таковым законом). В ст. 10 и 11 закона № 98-ФЗ установлен список мероприятий, которые обладателю информации необходимо реализовать, чтобы она приобрела статус коммерческой тайны со всеми вытекающими последствиями.

В т. ч. возможность применения мер ответственности за нарушение режима конфиденциальности данных работниками организации напрямую зависит от соблюдения этой организацией всех предписанных законом правил по обеспечению режима коммерческой тайны.

Например, суд признал увольнение по основаниям, связанным с разглашением коммерческой тайны, незаконным, т. к. сотрудником не было подписано обязательство о неразглашении коммерческой тайны.

Кроме того, работодателем не был представлен в суд локальный нормативный акт, которым был бы утвержден перечень таких сведений (см. решение Ленинского райсуда Ижевска от 16.04.

2013 по делу № 2-1009/13). 

Последствия неверного определения режима конфиденциальности информации

Надлежит обратить особое внимание на правовой режим тех или иных данных, в отношении которых организация или ИП хотят установить режим конфиденциальности.

Пример из практики

Суд восстановил сотрудницу на работе как незаконно уволенную по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных контрагентов организации-работодателя.

Вместе с тем при увольнении не было учтено, что данным пунктом предусмотрено увольнение за разглашение персональных данных именно сотрудников, чего фактически не было (см. решение Ломоносовского райсуда г.

Архангельска от 03.06.2009 по делу № 2-1880/09).

О законе и правах
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: