+7 (495) 332-37-90Москва и область +7 (812) 449-45-96 Доб. 640Санкт-Петербург и область

Нарушения утечки конфиденциальной информации для оплаты труда

Нарушения утечки конфиденциальной информации для оплаты труда

Работодателя это не устраивает я не вовремя забеременела-у нас сокращение и мне на работе вначале сказали что меня все равно уволят, но так как я не стала писать заявление и предупредила что подам в суд, мне объявили что я должна до 12 недель носить раз в месяц справку, а затем через каждые две недели. Так же потребовали чтобы я немедленно принесла новую справку т. Я в этот день не пошла за справкой т. На следующий день, когда я пришла на приём к врачу, у меня стали интересоваться что я натворила на работе?

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:

Риски утечки конфиденциальной информации

Утечка информации через уволенных сотрудников Автор: Евгения Бычкова Фото: shutterstock Слаженный коллектив является залогом успешной работы, но создать благоприятные условия для каждого сотрудника — задача не из легких. Причин увольнения может быть масса: неудовлетворительный уровень заработной платы, неподходящие условия и график работы, трудности в общении с коллективом, стремление достичь большего и т. А утечка информации возможна при уходе любого сотрудника.

О том, как обезопасить компанию от потери конфиденциальных данных мы расскажем в данной статье. Специалист хотел продать информацию другому предприятию, но сделка была сорвана благодаря усилиям правоохранительных органов. Если бы продажа была осуществлена, известная компания могла лишиться репутации, хорошей прибыли и надолго погрязнуть в судебных тяжбах.

В результате, ущерб для предприятия составил 1 млрд. В Южной Корее в корейская полиция арестовала сотрудников двух банков по подозрению в краже конфиденциальной информации. После чего данные были проданы сторонним компаниям. Сумма двух сделок составила около тысяч долларов. В результате был нанесен существенный ущерб по репутации всех зарубежных банков, расположенных в Корее. Как найти правильный подход к сотрудникам Чем выше должность, которую занимает человек, тем большим количеством информации он владеет.

При расставании с таким сотрудником есть несколько вариантов действий: Щедро вознаградить за долгие годы службы. В качестве вознаграждения компания может выплатить определенную денежную сумму, поднести ценный подарок. Действие является своеобразным подкупом за молчание. Обеспечить другое рабочее место. Компания, которая не желает видеть своих сотрудников в рядах конкурентов, может заинтересовать потерянного кадра рабочим местом, выгодным для предприятия.

В таком случае, компания сама обзванивает подходящие вакансии и договаривается о собеседовании. Увольнение рядового служащего проходит без особых почестей, все зависит от того, насколько осведомленными о делах компании были подчиненные. В случаях, когда грядет массовое увольнение служащих, компания подготавливает сотрудников путем проведения тренингов, обучения правильного составления резюме, преодоления напряжения на собеседованиях. Независимо от того, какая фигура покидает предприятие, руководитель должен учитывать следующие моменты: необходимо прощупать варианты будущего трудоустройства сотрудника.

Переход к конкурентам должен сопровождаться соглашением о неразглашении информации; следует создать представление о том, насколько осведомленным является сотрудник в вопросах конфиденциальной информации; стоит узнать причины ухода и отношение к компании в целом. Обиженный сотрудник может стать ценным кадром в рядах конкурирующих предприятий; получив необходимые сведения, следует просчитать вероятность утечки важных данных и постараться устранить проблему.

На что стоит обратить внимание: Конкурент может получить важные сведения несколькими способами: на выставках, по разговорам сотрудников, на собеседованиях. Следует заблаговременно проводить разъяснительные беседы по неразглашению коммерческой информации. А именно, подписать с сотрудником соответствующее соглашение о коммерческой тайне, проинструктировать об ответственности за ее нарушение.

Поспособствовать утечке данных может и использование бумажного документооборота. Рекомендуется установить специализированные программы для мониторинга проводимых операций на офисной технике. К примеру, в таком случае проверить, как часто копировали тот или иной документ, кто осуществлял операцию, на какой адрес был отправлен документ, не составит особого труда. Но к утечке данных могут привести не только осознанные действия сотрудников, желающих извлечь выгоду или просто нанести ущерб.

Существует множество примеров элементарной небрежности. Поэтому стоит позаботиться об утилизации любых ненужных бумажных носителей. Такой безобидный на первый взгляд мусор в руках конкурента способен раскрыть сведения о ваших любимых клиентах, финансовом состоянии компании и др.

Сохранить компанию помогут следующие профилактические меры: Специалисты по IT-безопасности совместно с HR-отделом должны разработать специальный регламент, фиксирующий порядок совместных действий с момента открытия вакансии до увольнения сотрудника. Как это работает? Другими словами, данный регламент устанавливает уровень прав доступа сотрудника, который по запросу в дальнейшем может расширяться или сокращаться.

Также ведется учет матрицы прав доступа для каждого сотрудника. Как правило, специалист по IT-безопасности создает матрицу в обычной таблице Excel, где представлен список сотрудников и объекты прав доступа. Итак, в случае ухода сотрудника должны быть разработаны два сценария, один из которых предусматривает порядок действий по защите информации в случае, если сотрудник покидает компанию добровольно, и в случае более негативного сценария, когда возможны диверсии.

В это время ответственный за корпоративную безопасность изучает логи на компьютере коллеги, планирующего покинуть компанию. Существует огромное разнообразие программных обеспечений, призванных помочь администратору в мониторинге рабочей сети организации.

Специалисты обычно рекомендует при установке подобных ПО задуматься о централизованной системе: доступ к истории операций пользователей должен быть по возможности у одного ответственного лица, уполномоченного обеспечивать информационную безопасность. Это позволит избежать спорных моментов делегирования обязанностей между сотрудниками отдела IT-безопасности. Рекомендуется уделить особое внимание хранению архивов почты и иных документов.

Так, при увольнении даже самый лояльный сотрудник может спокойно подчистить свою почту и удалить важные для компании документы. Администратор должен перекрыть все каналы доступа к рабочей станции и корпоративной информации, чтобы избежать возможной мести со стороны сотрудника. В этом случае матрица прав доступа станет незаменимым помощником администратору. Таким образом, для предотвращения утечки данных при расставании с сотрудником необходимо провести комплексную работу: установление режима коммерческой тайны, полный контроль за действиями сотрудниками на рабочем месте и хранение архивов пользователя.

Что касается применения более сложных и высокотехнологичных систем по предотвращению утечки данных, то нельзя не упомянуть и знаменитые DLP-системы. DLP-система и ее функции DLP-система представляет собой способ защиты от утечки данных, позволяющий следить за перемещением информации и предотвращать ее передачу за пределы компании.

Данная система осуществляет полный контроль действий сотрудников, в том числе общение по социальным сетям, почте, чатам и т.

DLP-система позволяет минимизировать риски утечки информации, защитить предприятие от финансовых потерь. Метод безупречно выполняет ряд задач, к которым относятся: наблюдение за передачей информации через Интернет, путем сохранения данных на внешние носители диски, флешки и т.

Система не только способствует сохранению данных на территории компании, но и повышает ответственность и внимательность сотрудников.

Представленный подход позволяет сохранить безупречную репутацию предприятия и персональную информацию в пределах компании. Но интеграция такой системы — очень дорогостоящий процесс, что является, пожалуй, ее главным минусом.

Более подробно о DLP-системах мы поговорим в следующих сериях статей, посвященных теме информационной безопасности. К примеру, сотрудник способен воспользоваться личным мобильным телефоном для снятия фото или видео данных с экрана монитора: ни одна система не сможет определить такую утечку, если телефон также не участвует в проверке.

Именно поэтому на многих режимных объектах требуется оставлять в специальной зоне хранения мобильные телефоны и другие гаджеты при входе в рабочую зону. Утечка информации и ответные действия Если ценные сведения просочились к конкурентам, необходимо принять вызов и быть готовым к конкурентному противостоянию. Важно сохранять спокойствие и быстроту реакции. Первым делом следует собрать сотрудников и изменить концепцию. Изменения должны быть более выгодными и привлекательными, по сравнению с предыдущим планом.

Например, разыгрывание призов можно заменить дегустацией или раздачей бесплатных пробников продукции. Переподготовка занимает много времени, но ответные действия должны последовать как можно скорее, что убедит соперника в конкурентоспособности предприятия. Быстрое реагирование позволяет не только привлечь потенциальных клиентов, но и раскрыть такие качества команды, как уверенность, квалифицированность, умение работать в стрессовых ситуациях. Ежегодно вероятность того, что компания станет жертвой утечки данных, растет, что связано с нестабильными технологиями и неподготовленностью сотрудников.

Халатное отношение с конфиденциальной информацией может навредить большому количеству людей, как в моральном, так и в финансовом плане. Своевременно проведенные профилактические действия могут стать решающим этапом для последующего развития компании.

Каждого работника, занимающего ответственную должность, заранее предупреждают, что конфиденциальная информация не подлежит разглашению. Порядок сохранности тайн Прежде всего, как физические, так и юридические лица обязаны хранить свои секреты в надлежащем состоянии.

Однако не все работники могут быть заинтересованы в ее неразглашении. Для некоторых из них закрытая информация становится источником получения личной выгоды. Работники могут донести информацию до широкой общественности либо передать ее конкурентам и этим нанести организации информационный ущерб.

Разберемся, как правильно привлечь работника к ответственности за разглашение коммерческой тайны и персональных данных и какие документы оформить, чтобы избежать рисков. В отчете в том числе содержались сведения, относящиеся к коммерческой тайне работодателя, — о наиболее выигрышном варианте упаковки продукции по результатам маркетинговых исследований.

Маркетинговые планы часто относятся к коммерческой тайне, тем более если организация преуспевает. Если работник раскрывает такие планы конкурентам, он, несомненно, наносит организации ущерб. Федеральный закон от Работника, который нанес организации информационный ущерб в период действия трудового договора, можно привлечь к дисциплинарной ответственности.

Рассмотрим подробнее действия, которые необходимо предпринять в этом случае, и какие документы оформить. Шаг 1: фиксируем факт разглашения коммерческой тайны О том, что работник разгласил сведения, составляющие коммерческую тайну, становится известно из служебной записки, которую пишут, как правило, сотрудники службы безопасности. Шаг 2: создаем комиссию для проведения служебного расследования Тот факт, что работник действительно виновен в разглашении охраняемой законом тайны, нужно зафиксировать в решении специальной комиссии, которая проводит внутреннее служебное расследование проверку.

Комиссию желательно образовать не позднее следующего дня после выявления факта разглашения. В состав комиссии, как правило, входят компетентные и не заинтересованные в исходе разбирательства работники не менее трех , которые имеют допуск к разглашенным сведениям. В приказе о создании комиссии указываются Ф. С приказом необходимо ознакомить под роспись всех включенных в нее работников. Работника, в отношении которого ведется расследование, ознакомлять с приказом необязательно, поскольку подобного требования законодательство не содержит.

Шаг 3: проводим проверку Часть первая ст. Представленные работником объяснения учитываются при подведении итогов работы комиссии. Таким образом работнику предоставляется возможность объяснить причины проступка. Если работник готов представить объяснительную записку, письменное требование можно не оформлять.

Если же ситуация конфликтная, требование о представлении объяснений необходимо оформить письменно и вручить работнику под роспись. В случае его отказа от проставления подписи необходимо составить соответствующий акт Пример 4. Если по истечении двух рабочих дней со дня направления уведомления работник не представил объяснений, нужно оформить соответствующий акт часть первая ст.

Акт об отсутствии объяснений Пример 5 и требование о представлении письменных объяснений см. Пример 3 подтверждают, что объяснение у работника запрашивалось, но получено не было.

Поскольку непредставление работником объяснения не является препятствием для применения дисциплинарного взыскания часть вторая ст. Если работник представил объяснительную записку, дальнейшие действия работодателя зависят от того, какие причины и обстоятельства совершенных действий в ней указаны. Необходимо отметить, что работник может представить объяснения позже установленного срока и не лицу, указанному в запросе, а генеральному директору либо непосредственному руководителю Пример 6.

Составляем акт о результатах работы комиссии. Результаты работы комиссии отражаются в соответствующем акте, который составляется в произвольной форме Пример 7. Акт подписывается всеми членами комиссии. Работник, виновный в разглашении информации, ознакамливается с ним под роспись. В случае его отказа или уклонения от ознакомления составляется соответствующий акт Пример 8. Акт комиссии с прилагаемыми документами, на основании которых комиссия сделала выводы, передается руководителю организации, который принимает решение о наложении на работника дисциплинарного взыскания.

Шаг 4: принятие решения о наложении дисциплинарного взыскания Процедура принятия решения о привлечении либо непривлечении работника к ответственности и наложении на него того или иного взыскания законодательством не предусмотрена.

Руководитель рассматривает результаты работы комиссии, знакомится с представленными документами. Он может пригласить работника, который обвиняется в правонарушении, а также иных работников для беседы. ТК РФ лишь ограничивает срок принятия такого решения. Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников.

Дисциплинарное взыскание не может быть применено позднее шести месяцев со дня совершения проступка часть четвертая ст. Необходимо отметить, что работодатель имеет право привлечь работника к дисциплинарной ответственности, но не обязан этого делать. В результате служебного расследования должностные лица устанавливают не только факт совершения правонарушения в виде разглашения коммерческой тайны, но и выясняют обстоятельства и причины такого поведения работника в силу части пятой ст.

Ведь в случае судебного разбирательства работодателю необходимо будет представить доказательства, свидетельствующие не только о том, что работник совершил дисциплинарный проступок, но и о том, что при наложении взыскания учитывались тяжесть этого проступка и обстоятельства, при которых он был совершен, а также предшествующее поведение работника, его отношение к труду п.

Такое требование предъявляется к работодателю, так как согласно Конституции РФ принципами юридической ответственности в том числе являются вина, соразмерность и гуманизм. Если работник считает, что не совершал правонарушения или совершил его не по своей воле то есть отсутствует вина работника , либо считает, что имеются смягчающие его вину обстоятельства, он вправе сообщить их в объяснительной записке.

Шаг 5: наложение дисциплинарного взыскания За совершение дисциплинарного проступка работодатель может применить следующие виды дисциплинарных взысканий: замечание, выговор, увольнение ст. С работником, которые разгласил сведения, составляющие коммерческую тайну, работодатель вправе расторгнуть трудовой договор подп. Увольнение в этом случае будет законным, если работодатель придерживался процедуры наложения на работника дисциплинарного взыскания, изложенной в ст.

Далее рассмотрим, как правильно оформить выговор или увольнение работника, допустившего разглашение коммерческой тайны, чтобы избежать восстановления работника на работе. Если работодатель все же надеется на дальнейшее сотрудничество с работником, совершившим проступок, он может его не увольнять, а объявить выговор. Для этого необходимо составить приказ и под роспись ознакомить с ним работника Пример 9. В случае его отказа или уклонения от ознакомления — оформить соответствующий акт Пример Прекращение трудового договора оформляется приказом распоряжением работодателя часть первая ст.

С приказом о прекращении трудового договора работодатель должен ознакомить работника под роспись. Если приказ невозможно довести до сведения работника или он отказывается ознакомиться с ним под роспись, на приказе проставляется соответствующая запись. Приказ можно составить по форме, утвержденной постановлением Госкомстата России от Днем прекращения трудового договора во всех случаях является последний день работы работника.

В этот день работодатель обязан выдать работнику трудовую книжку и произвести с ним расчет ст. Записи в трудовую книжку об основании и о причине прекращения трудового договора должны соответствовать формулировкам Трудового кодекса Пример Иными словами, это специально установленный законодательством правовой режим, при правильном применении которого государство встает на защиту конфиденциальной информации организации.

Устанавливая режим коммерческой тайны, организация тем самым защищает свою конфиденциальную информацию от недобросовестных работников. Режим коммерческой тайны включает целый комплекс мер. Невыполнение даже одной из них повлечет за собой отсутствие режима коммерческой тайны. Следовательно, работника нельзя будет уволить на основании подп. Чтобы режим коммерческой тайны считался установленным, работодатель обязан: установить перечень сведений, составляющих коммерческую тайну.

В перечне не должно быть сведений, перечисленных в постановлении Правительства РФ от Для этого необходимо утвердить специальный локальный нормативный акт акты , например положение о коммерческой тайне.

В списке нужно указать, работники на каких должностях и к каким именно сведениям имеют доступ; прописать в должностных инструкциях работников, имеющих доступ к таким сведениям, их обязанности по обеспечению режима коммерческой тайны.

Что касается уже работающих сотрудников, заключить соглашение об изменении определенных сторонами условий трудового договора в письменной форме ст. Работник должен подписать такое обязательство; вести учет предоставления работникам информации, составляющей коммерческую тайну. Например, в журнале учета выдачи документов, иных материальных носителей, получения доступа работникам к электронным ресурсам. То есть доступ к информации должен быть ограничен.

Также должна быть предусмотрена возможность уничтожения документов. Сами документы должны храниться в сейфе или в металлическом запираемом шкафу в специально оборудованном помещении. Секретарю Колесниковой А. При этом на видео был виден бейдж Алексеевой С.

В этот же день видеоролик появился в общем доступе одной из социальных сетей. Согласно ст. Персональные данные являются конфиденциальной информацией, которая защищается законодательством РФ, например ст. Статья 3 Закона о персональных данных определяет, что персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу субъекту персональных данных. Это определение не содержит конкретного перечня информации, поскольку достаточно, чтобы такая информация позволяла определить, к какому лицу она относится.

В статье 1 Закона о персональных данных указано, что принимать меры по защите персональных данных обязаны в том числе юридические лица и физические лица, которые обрабатывают персональные данные с использованием средств автоматизации и без использования таких средств.

Если в период действия трудового договора работник нарушил указанные выше положения законодательства, его можно привлечь к дисциплинарной и материальной ответственности ст. Рассмотрим подробнее те действия, которые следует предпринять для привлечения работника к ответственности, и как правильно оформить документы, чтобы избежать рисков. Шаг 1: фиксируем факт распространения персональных данных Информация о распространении персональных данных руководству организации может поступить в виде служебной записки от службы безопасности или иных работников, а также самого субъекта персональных данных.

В служебной записке отражаются: Ф. Шаг 2: создаем комиссию о проведении проверки Тот факт, что работник действительно виновен в разглашении охраняемой законом тайны, должна зафиксировать специально созданная комиссия. Комиссию для проведения внутреннего служебного расследования необходимо создать как можно раньше, чтобы не пропустить срок, в течение которого можно привлечь работника к дисциплинарной ответственности один месяц. В комиссию нужно включить не менее трех компетентных и не заинтересованных в исходе разбирательства работников, имеющих допуск к персональным данным.

О создании комиссии нужно издать приказ, указать в нем Ф. Все включенные в состав комиссии работники должны ознакомиться с приказом под роспись, за исключением провинившегося работника — его ознакомлять необязательно. Шаг 3: проводим проверку Поскольку комиссия выясняет причины и обстоятельства нарушения, ей желательно получить письменное объяснение работника Пример Требование необходимо вручить работнику под роспись.

Если последний отказывается его подписать, придется составить акт см. Пример 4. Если по истечении указанного в требовании срока работник объяснительную не представил, нужно составить акт об отсутствии объяснений см. Пример 5. Результаты работы комиссии отражаются в акте о проведении служебного расследования в произвольной форме Пример

Защита информации от утечки

Работодателя это не устраивает я не вовремя забеременела-у нас сокращение и мне на работе вначале сказали что меня все равно уволят, но так как я не стала писать заявление и предупредила что подам в суд, мне объявили что я должна до 12 недель носить раз в месяц справку, а затем через каждые две недели.

Так же потребовали чтобы я немедленно принесла новую справку т. Я в этот день не пошла за справкой т. На следующий день, когда я пришла на приём к врачу, у меня стали интересоваться что я натворила на работе? Не поняв вопроса, я стала интересоваться в чем дело? И выяснилось следующие: за день до моего прихода т. Дальнейшие действия заведующей меня очень сильно поразили без всяких запросов и без моего разрешения она дала всю информацию о моём состоянии кому именно-я вообще не имею понятия.

Были проверены и карта и компьютер и регистра тура и талончики на посещение и анализы. И все это я уже узнала от посторонних людей, которые все это видели. Мой доктор мне ни чего не говорит, отправляет к заведующей но её уже не было, было уже 17 часов да и пятница. Меня и так на работе довели до истерик и до того, что у меня стал болеть живот, стало повышаться давление да и вообще моё состоянии ухудшилось из-за того, что трепет нервы. А после такого вообще моё состояние не улучшилось, мой лечащий врач ставит мне угрозу прерывания беременности.

Ответственность за разглашение конфиденциальной информации

Как предотвратить утечку конфиденциальной информации Необходимость решения проблемы утечки конфиденциальной информации связана с выживанием и успешным ведением бизнеса компании.

Владение информацией о противнике — один из наиболее действенных способов конкурентной борьбы на рынке. Ущерб от раскрытия конфиденциальной информации может выражаться в потере конкурентных преимуществ, упущенной коммерческой выгоде, санкциях со стороны регулирующих органов, административной и уголовной ответственности за раскрытие персональных данных, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, планируемых кадровых перестановках и т.

Например, американская компания Victoria Secrets была оштрафована на 50 тыс. Несмотря на то что несанкционированное раскрытие информации является во многих случаях административно и уголовно наказуемым деянием, в условиях, когда информационное законодательство РФ еще полностью не сформировано, а процессы законотворчества сильно отстают от уровня развития информационных технологий, возникают существенные трудности в обеспечении юридической защиты интересов собственников конфиденциальной информации.

Информация, не попавшая в данный перечень, считается открытой. В коммерческой организации наиболее остро стоит вопрос о защите коммерческой тайны, однако не менее важными являются сведения, составляющие конфиденциальную информацию третьих лиц, к которым могут относиться коммерческая тайна третьих лиц, персональные данные, служебная тайна и т.

Важной категорией конфиденциальной информации являются персональные данные сотрудников организации. Например, в США законодательство предусматривает строгое наказание за раскрытие персональных данных граждан. В нашей стране вопросы защиты персональных данных пока недостаточно хорошо проработаны как на законодательном, так и на технологическом уровне. Помимо определения состава конфиденциальных сведений, информационные ресурсы организации нуждаются также в категорировании по уровню конфиденциальности.

Это позволяет ввести дифференцированный подход к реализации защитных мер. Каналы утечки информации Количество потенциальных каналов утечки информации достаточно велико. Наиболее распространенные из них относятся к категории неумышленного раскрытия информации сотрудниками по причине неосведомленности или недисциплинированности. Отсутствие представлений о правилах работы с конфиденциальными документами, неумение определить, какие документы являются конфиденциальными, и просто обычные разговоры между сотрудниками — все это может привести к рассекречиванию данных.

Хорошим примером утечки конфиденциальной информации из организации из-за технической неосведомленности сотрудников может служить ситуация, возникающая вокруг повсеместно используемого текстового редактора MS Word. По данным британской компании Workshare, специализирующейся в области обеспечения защиты документов, текстовый редактор Word компании Microsoft сам по себе представляет огромную опасность.

Речь идет о заложенной в нем возможности извлечения информации, вносившейся в документ по ходу его подготовки, правки и согласования, пусть даже удаленной впоследствии. Внимательный читатель, недобросовестный конкурент или мошенник могут, если не предпринять определенные меры, почерпнуть немало интересного о том, как, к примеру, варьировались по мере подготовки финального текста контракта его ключевые положения.

Компания Microsoft выпустила специальное программное расширение для MS Word под названием Remove Hidden Data [1, 2], с помощью которого пользователь может удалить персональные данные либо скрытую информацию, которая не должна быть выявлена при просмотре документа. Система мер по защите С учетом множественности категорий и каналов утечки информации становится очевидно, что в большинстве случаев проблему утечки нельзя решить каким-либо простым способом, тем более избавиться от нее окончательно.

Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес-процессов организации. Это означает, что требуется система организационно-технических мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без значительного снижения эффективности бизнес-процессов.

Без такой системы права на юридическую защиту интересов организации как собственника информации нереализуемы. Система предотвращения утечки конфиденциальной информации включает в себя три основных составляющих: работу с персоналом, политику безопасности, сервисы безопасности.

Работа с персоналом Основным источником утечки информации из организации является ее персонал. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом — главный механизм защиты.

Основные требования При работе с персоналом необходимо соблюдать следующие требования безопасности: Ответственность за информационную безопасность должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, за ресурсы, процессы и мероприятия по обеспечению безопасности. Должны проводиться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы, удостоверяющие личность.

Для критичных должностей должна проверяться также кредитная история кандидата. Подписание соглашения о неразглашении конфиденциальной информации кандидатом должно быть обязательным условием приема на работу. Требования информационной безопасности, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность за нарушение безопасности.

Повышение осведомленности Важную роль для обеспечения информационной безопасности играет осведомленность пользователей в вопросах безопасности и правилах безопасного поведения. Согласно ст. Контроль осведомленности должен осуществляться на регулярной основе. Основную роль здесь играют HR-менеджеры организации.

Необходимо проводить обучение и контролировать знания пользователей по следующим вопросам: правила политики безопасности организации; правила выбора, смены и использования паролей; правила получения доступа к ресурсам информационной системы; правила обращения с конфиденциальной информацией; процедуры информирования об инцидентах, уязвимостях, ошибках и сбоях программного обеспечения и др.

Меры пресечения В организации должен быть разработан соответствующий дисциплинарный процесс, проводимый в отношении нарушителей безопасности и предусматривающий расследование, ликвидацию последствий инцидентов и адекватные меры воздействия. При определении мер пресечения следует ориентироваться на положения действующего законодательства.

Отношения между работником и работодателем и ответственность за нарушение информационной безопасности организации регулируются прежде всего Трудовым кодексом РФ.

В определенных случаях возможно применение положений Кодекса об административных правонарушениях и Уголовного кодекса. Так, на основании ст. Сотрудник компании несет материальную ответственность как за прямой действительный ущерб, непосредственно причиненный им работодателю, так и за ущерб, возникший у работодателя в результате возмещения им ущерба иным лицам. Сотрудники несут материальную ответственность в пределах своего среднего месячного заработка ст.

Роль HR-менеджеров Роль менеджеров по персоналу в обеспечении информационной безопасности организации весьма значима, хотя и не является определяющей. HR-менеджеры должны принимать участие в разработке и внедрении политик безопасности, организации обучения пользователей, контроле осведомленности и расследовании нарушений.

HR-менджеры в организации также выполняют функции владельцев персональных данных сотрудников компании и несут административную ответственность за разглашение или незаконное распространение этих данных.

Политика безопасности и процедуры внутрифирменной коммуникации Соответствующая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования.

Она включает в себя определение уровней доступа к информации, механизмов контроля и функциональных ролей. В организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции.

Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности например, открытая информация, конфиденциальная, строго конфиденциальная , правила маркирования конфиденциальных документов и правила обращения с конфиденциальной информацией, включая режимы хранения, способы обращения, ограничения по использованию и передаче третьей стороне и между подразделениями организации.

Должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, в том числе авторизация и аудит доступа. Ответственность за информационную безопасность организации несет ее руководитель, который делегирует эту ответственность одному из менеджеров.

Решение о предоставлении доступа к конкретным информационным ресурсам должны принимать владельцы этих ресурсов, назначаемые из числа руководителей подразделений, формирующих и использующих эти ресурсы. Кроме того, вопросы предоставления доступа конкретным сотрудникам должны быть согласованы с их непосредственными руководителями. Многие правила политики безопасности понятны сотрудникам и выполняются ими в большинстве случаев на интуитивном уровне. Остальные требуют обучения. Жизнь по правилам Как показывает практика, значительного ограничения утечки информации из организации можно добиться путем применения шести основных правил.

Основная задача состоит в том, чтобы добиться интуитивного применения этих правил всеми сотрудниками организации. Маркирование документов. Документы бумажные и электронные , содержащие конфиденциальную информацию, подлежат обязательному маркированию путем проставления грифа конфиденциальности в правом верхнем углу титульного листа. Маркирование конфиденциальных документов осуществляется ответственным за их подготовку или ответственным за работу с данными документами.

Маркирование сообщений электронной почты осуществляется пользователем, выполняющим отправку распространение данных сообщений. Закрытое обсуждение. Не следует обсуждать конфиденциальную информацию с посторонними лицами или в их присутствии , с друзьями, родственниками, сотрудниками организации, не допущенными к работе с данной информацией, и т.

Также не следует обсуждать конфиденциальную информацию в общественных местах в присутствии посторонних не допущенных к данной информации лиц, включая столовую и места для курения, расположенные на территории компании. Шифрование информации при хранении и передаче. Для обеспечения надлежащего уровня защиты шифрование должно применяться как при хранении, так и при передаче конфиденциальной информации.

Электронный обмен конфиденциальной информацией с внешними респондентами должен вестись в зашифрованном виде, при наличии соответствующих технических возможностей. Использование соглашения о конфиденциальности. Ограничение доступа к информации. Не хранить электронные документы, содержащие конфиденциальную информацию, в общедоступных местах, включая общие папки файловых серверов, Web, почтовые папки и т.

Требуется не только самим овладеть методами защиты информации, но также следить за их выполнением другими сотрудниками и вести разъяснительную работу. Обо всех фактах утечки информации следует незамедлительно сообщать своему непосредственному руководителю.

Сервисы безопасности Сервисы безопасности используются для ограничения доступа к информации, протоколирования фактов осуществления доступа и контроля информационных потоков. Они позволяют обеспечить предупреждение, предотвращение, обнаружение и реагирование на инциденты, связанные с утечкой информации. К числу сервисов безопасности относят аутентификацию, управление доступом, шифрование, фильтрацию контента и аудита безопасности. Аутентификация и управление доступом Традиционные схемы аутентификации и управления доступом во многих случаях уже не обеспечивают адекватного уровня защиты.

В дополнение к ним целесообразно использовать специализированные сервисы управления правами доступа к электронным документам, которые уже начинают появляться на рынке. RMS Rights Management Services, сервисы управления правами доступа - это технология, используемая для защиты электронных документов от несанкционированного использования.

Она позволяет при распространении информации определять ограничения по использованию последней. Основное отличие данной технологии от традиционных способов разграничения доступа к информации заключается в том, что права доступа и дополнительные ограничения по использованию хранятся в теле самого документа и действуют независимо от его местонахождения. Шифрование документов, реализованное в технологии RMS, не позволяет получать доступ к их содержанию каким-либо обходным путем. Фильтрация контента Использование RMS, конечно, не решает всех проблем.

Даже хорошо отлаженная система фильтрации требует постоянного внимания со стороны администратора безопасности. Шифрование информации Шифрование — один из наиболее надежных способов обеспечения конфиденциальности информации. Криптографические методы давно и успешно развиваются во всем мире, поэтому в настоящее время механизмы шифрования являются сильным звеном в любой системе обеспечения информационной безопасности.

Во всех распространенных почтовых клиентах поддерживаются функции шифрования сообщений, что позволяет без дополнительных усилий производить обмен конфиденциальной информацией с внешними респондентами в зашифрованном виде. Аудит безопасности Последним рубежом в комплексной системе предотвращения утечки информации из организации является подсистема аудита информационной безопасности, которая позволяет оперативно обнаруживать и реагировать на нарушения безопасности, а также производить расследование инцидентов, связанных с утечкой информации.

Она должна охватывать все виды событий, связанных с получением доступа к конфиденциальным данным и выполнением действий, способных привести к их несанкционированному раскрытию, включая изменение прав доступа, копирование и вывод на печать.

СУИБ Успешная реализация намеченных подходов к предотвращению утечки информации крайне затруднительна в том случае, если в организации отсутствует действующая система управления информационной безопасностью СУИБ , которая характеризуется прежде всего наличием работающей политики безопасности и организационной структуры, выстроенной в соответствии с этой политикой, а также наличием процессов, процедур и механизмов контроля.

Литература В MS Word обнаружили неприятный сюрприз. На рассмотрении в Государственной думе в настоящее время находится еще ряд проектов законов, включая законы о защите персональной и служебной информации. Однако большой объем актов правового регулирования и наличие основополагающих профильных нормативных актов не означают совершенства действующего законодательства в этой сфере.

Сегодняшние законодательство и наука не позволяют четко отграничить информацию от других объектов права, установить ее правовую природу, обозначить круг информационных правоотношений, однозначно определить субъектный состав и содержание информационных отношений и т. В частности, своего скорейшего разрешения требует проблема правового регулирования оборота недокументированной информации.

Поделиться в соц.

Носова Аннотация Данная статья посвящена актуальной проблеме, связанной с причиной утечки конфиденциальной информации.

В статье указываются требования к персоналу, имеющего доступ к конфиденциальной информации. Рассматриваются виды реализации угроз информационной безопасности.

Представлены причины и каналы утечки секретной информации. Приведены способы защиты секретной информации. Nosov Abstract This article is devoted to the topical problem related to the leakage of confidential information. The article specifies requirements for personnel having access to confidential information. We consider the implementation of the kinds of information security threats.

Present the causes and the channels of leakage of sensitive information. There are ways to protect sensitive information. Рубрика: В связи с участившимися взломами информационных баз данных, которые вредят работе различных предприятий, фирм, корпораций и даже приводят к их полному уничтожению, возникает важный вопрос о защите конфиденциальной информации.

А для того, чтобы защита была надёжной, нужно понять и найти причины утечки закрытой информации. В этом ключе большинство специалистов, которые работают в сфере безопасности информационных систем, считают, что основное внимание нужно обращать на персонал предприятия, работающего с конфиденциальными сведениями. Выделяют две главные задачи: 1 предельно усложнить работу злоумышленнику в целях получения нужной информации; 2 предотвратить установление каких-либо связей между злоумышленником и сотрудником фирмы, который владеет секретными данными.

Способы осуществления угроз информационной безопасности предприятия могут быть различны. Сотрудник фирмы может действовать целенаправленно или неосознанно по собственной инициативе, а также под чьим-то влиянием. Обучение персонала способам защиты засекреченной информации должно проводиться регулярно, потому что технология защиты требует постоянного обновления. Обучение работника фирмы начинается с собеседования при приёме на работу и подписания им договора о неразглашении тайны и заканчивается его увольнением и подписанием договора, не допускающим использование секретных данных фирмы в каких-либо целях.

Получение конфиденциальной информации может происходить при помощи разных методов: подслушивание разговоров сотрудников данного предприятия, использование технических средств подслушивающих устройств , копирование секретных данных.

Таким образом, самой часто встречающейся причиной осуществления угроз по защите безопасности является безответственность сотрудников предприятия. Это прослеживается в нарушении персоналом условий по защите информационной безопасности, что приводит к утечке секретной информации. Под разглашением информации понимается запрещённая передача служебной или секретной информации до людей, не имеющих на неё права.

Под несанкционированным доступом понимается получение запрещённой информации ложным или обманным путём лицом, не имеющим на неё права. Получение секретной информации разведками может осуществляться с помощью технических средств или агентурными методами.

Канал утечки информации — это источник запрещённой информации — человек или материальный носитель. Косвенные каналы не требуют прямого доступа к техническим средствам информации. Прямые каналы — непосредственный доступ к источнику информации.

Примеры косвенных каналов утечки: - похищение или потеря носителей информации; - фотографирование, прослушивание на расстоянии;.

Работодатель запрещает разглашать зарплату. Это законно?

Как предотвратить утечку конфиденциальной информации Необходимость решения проблемы утечки конфиденциальной информации связана с выживанием и успешным ведением бизнеса компании. Владение информацией о противнике — один из наиболее действенных способов конкурентной борьбы на рынке. Ущерб от раскрытия конфиденциальной информации может выражаться в потере конкурентных преимуществ, упущенной коммерческой выгоде, санкциях со стороны регулирующих органов, административной и уголовной ответственности за раскрытие персональных данных, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, планируемых кадровых перестановках и т.

Утечка информации через уволенных сотрудников Автор: Евгения Бычкова Фото: shutterstock Слаженный коллектив является залогом успешной работы, но создать благоприятные условия для каждого сотрудника — задача не из легких. Причин увольнения может быть масса: неудовлетворительный уровень заработной платы, неподходящие условия и график работы, трудности в общении с коллективом, стремление достичь большего и т.

Самым популярным и при этом самым неэффективным средством стала контентная фильтрация. Система контентной фильтрации, установленная на каком-либо шлюзе, будет сканировать лишь проходящий трафик. Данные же на рабочей станции остаются без защиты. Кроме того, контентная фильтрация не поможет сохранить конфиденциальные сведения, которые остались на потерянном ноутбуке или резервном носителе. РРР-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы и передача сообщения пакета, потока, сессии блокируется. Как правило, это сложнейшие программные комплексы, имеющие широкий функционал по предотвращению злоумышленной или случайной утечки секретной информации. Особенностью таких систем является то, что для корректной их работы требуется строго отлаженная структура внутреннего оборота информации и документов, поскольку анализ безопасности всех действий с информацией строится на работе с базами данных. При этом РРР-система контролирует не все каналы утечки информации.

Для некоторых из них закрытая информация становится источником получения личной выгоды. Работники могут донести информацию до широкой общественности либо передать ее конкурентам и этим нанести организации информационный ущерб. Разберемся, как правильно привлечь работника к ответственности за разглашение коммерческой тайны и персональных данных и какие документы оформить, чтобы избежать рисков.

Как предотвратить утечку конфиденциальной информации

Россия, Москва и Московская область, Москва 5 мин. Виды ответственности работников за распространение охраняемой законом информации. Ежедневно тысячи коммерческих организаций сталкиваются с необходимость защиты конфиденциальной информации. В данной материале я расскажу об ответственности сотрудников допустивших распространение конфиденциальной информации в пользу 3-х лиц. Действующее законодательство предусматривает 4 вида ответственности для сотрудников допустивших рассматриваемое правонарушение. Наибольший интерес представляет собой привлечение сотрудника к дисциплинарной ответственности в виде увольнения по пп. Структура судебных споров по оспариванию решения об увольнении сотрудника по пп.

Штраф за разглашение конфиденциальной информации.

Однако не все работники могут быть заинтересованы в ее неразглашении. Для некоторых из них закрытая информация становится источником получения личной выгоды. Работники могут донести информацию до широкой общественности либо передать ее конкурентам и этим нанести организации информационный ущерб. Разберемся, как правильно привлечь работника к ответственности за разглашение коммерческой тайны и персональных данных и какие документы оформить, чтобы избежать рисков. В отчете в том числе содержались сведения, относящиеся к коммерческой тайне работодателя, — о наиболее выигрышном варианте упаковки продукции по результатам маркетинговых исследований. Маркетинговые планы часто относятся к коммерческой тайне, тем более если организация преуспевает. Если работник раскрывает такие планы конкурентам, он, несомненно, наносит организации ущерб.

При этом аналитики, работающие в сфере информационной безопасности и собирающие эти данные, изучают только публичные случаи таких происшествий, которые нашли отражение в СМИ. Но даже по этому проценту, по мнению Натальи Касперской, можно делать далеко идущие выводы — о сущности утечек, их динамике, каналах, о том, как меняются их характер и частота. Слишком быстрая цифровизация — как причина роста утечек Мы собираем информацию о таких происшествиях с года. И все 15 лет видим, что их количество только растет.

Носова Аннотация Данная статья посвящена актуальной проблеме, связанной с причиной утечки конфиденциальной информации. В статье указываются требования к персоналу, имеющего доступ к конфиденциальной информации. Рассматриваются виды реализации угроз информационной безопасности. Представлены причины и каналы утечки секретной информации.

.

.

Комментарии 2
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. Лилиана

    Здравствуите, скажите пожалуисто сын сидит с сроком 8 лет первая судимость, 162/4 за рабои и тяжелый вред здаровье, так вот влияет на сына омнистия? и в сизо год сидел шитается один день за два?он гр, Армении это по делу что то изменяет? спасибо

  2. gorseami1982

    Где деньги Зин? . Экономика это бизнес, а бизнес это табличка экселя (математика), пытаться думать о ней паттернами глупо.

© 2018-2021 monumentskulpturaspb.ru