Струдника можно уволить за копирование информации с рабочего компа на флешку
Суд: копирование информации с ограничительным грифом или относящейся к коммерческой тайне может стать причиной увольнения за грубое нарушение трудовых обязанностей.
ГРУППЫ КОММЕРЧЕСКОЙ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Не смотря на разнородность информации, используемой на предприятии, из всего информационного массива можно выделить ТРИ КЛАСТЕРА СВЕДЕНИЙ, схожие по назначению, формам закрепления и функциональным признакам: финансово-экономический (учетно-статистический), научно-технический и организационно-управленческий.
♦ ФИНАНСОВО-ЭКОНОМИЧЕСКИЙ КЛАСТЕР включает в себя: показатели финансового и экономического положения фирмы, объемы и себестоимость продукции, сведения о кредитах и банковских операциях, о клиентах и договорах, о поставщиках и конкурентах, о структуре капиталов и планах развития, о рыночной ситуации и деловой переписке, различную бухгалтерскую и статистическую отчетность.
♦ НАУЧНО-ТЕХНИЧЕСКИЙ КЛАСТЕР включает: технические характеристики выпускаемой продукции, технологические процессы ее изготовления, комплектующие и материалы, “ноу-хау”, конструкторская документация, программное обеспечение, используемое оборудование, инструменты, способы и приемы, производственный цикл, информация образуемая в процессе научных исследований и прикладных разработок и т.п.
♦ ОРГАНИЗАЦИОННО-УПРАВЛЕНЧЕСКИЙ КЛАСТЕР образуется непосредственно в процессе управления предприятием и производственными коллективами. Это плановая, нормативная, оперативная, распорядительная, кадровая и другая информация, используемая в целях организации процесса управления предприятием, учета и регулирования производственного процесса и договорных отношений. Такая информация содержится в учредительных документах, договорах с поставщиками и покупателями, в организационно-распорядительных документах, в планах развития и реорганизации производства, в инструкциях по организации охраны и контроля, в кадровых документах, в анкетах и персональных данных работников.
Вся вышеперечисленная информация представляет для предпринимателей определенную ценность и может быть предметом повышенного интереса не только у конкурентов по бизнесу, но и у криминальных структур. Такая информация нуждается в защите и в установлении контроля над её использованием и распространением. Между тем, при присвоении той или иной информации грифа конфиденциальности, необходимо учитывать не только желание коммерсанта засекретить те или иные сведения, но и нормы Российского законодательства, согласно которым не любую информацию можно отнести к конфиденциальной и охранять.
Что относится к сведениям, которые не могут составлять коммерческую тайну предприятия
Такие сведения оговорены в ст. 5 закона № 98-ФЗ и включают в себя информацию:
- указанную в учредительных документах и документах о регистрации юрлица или ИП в госорганах;
- указанную в разрешениях на коммерческую деятельность;
- об использовании бюджетных средств и об имуществе госучреждений и государственных (муниципальных) унитарных предприятий;
- влияющую на безопасность отдельных граждан или всего населения (о влиянии на окружающую среду, о соблюдении противопожарной, санитарной техники безопасности, безвредность пищевых продуктов и т. д.);
- относящуюся к кадровой (количество работников, их состав, система оплаты труда, условия и охрана труда, травматизм и проф. заболевания, имеющиеся вакансии, задолженность по зарплате и соцвыплатам);
- о противозаконных действиях и понесенных за это наказаниях;
- об условиях приватизации госсобственности;
- для некоммерческих организаций: о доходах, расходах, имуществе, о количестве сотрудников и их зарплате, об использовании бесплатного труда;
- о списке лиц, которые выступают от имени организации без доверенности;
- прочая информация, необходимость раскрытия которой указана в других законах.
Какая информация не может быть коммерческой тайной
Кроме указанных выше критериев, при отсутствии которых соответствующая информация не признается конфиденциальной, законодательством прямо предусмотрен также ряд случаев, когда информация в принципе не может относиться к коммерческой тайне. Статья 5 Федерального закона «О коммерческой тайне» называет в качестве таковых сведения:
- содержащиехся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
- содержащиеся в документах, дающих право на осуществление предпринимательской деятельности;
- о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
- о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
- о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости и о наличии свободных рабочих мест;
- о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
- о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
- об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
- о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
- о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
- обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Необходимо отметить, что отнесение информации к конфиденциальной не освобождает лицо от обязанности предоставить ее правоохранительным, а также иным уполномоченным государственным органам, которым законодательством предоставлено право получать соответствующую информацию в рамках своей компетенции.
Показательно в связи с этим Постановление ФАС Московского округа от 19 января 2006 года №КА-А40/12448-05. В рамках данного дела ОАО «Тольяттиазот» обратилось в Арбитражный суд города Москвы с заявлением о признании недействительным предписания Федеральной службы по финансовым рынкам о предоставлении документов. Оспаривая требование ФСФР РФ, общество ссылалось, в том числе, на то, что оспариваемое предписание нарушает нормы Федерального закона «О коммерческой тайне», поскольку запрашиваемые документы внутренним положением отнесены к коммерческой тайне. Однако суды первой и апелляционной инстанций с обществом не согласились. Оставляя в силе принятые судебные акты, Федеральный арбитражный суд Московского округа указал, что: «. даже при отнесении эмитентом какой-либо информации к коммерческой тайне право на ее получение ФСФР России в целях проверки соблюдения требований законодательства Российской Федерации о ценных бумагах предоставлено п.8 ст.3 Федерального закона «О коммерческой тайне».
Указанные судебные акты, по нашему мнению, безусловно законны, поскольку по своей природе коммерческая тайна – это информация, конфиденциальность которой ценна в коммерческих отношениях, на рынке товаров (работ, услуг). Отнесение информации к коммерческой тайне не может рассматриваться как способ воспрепятствовать предоставлению этих сведений уполномоченным государственным органам, которым соответствующая информация необходима для осуществления возложенных на них публичных полномочий.
Определить перечень лиц, имеющих доступ к коммерческой тайне .
Рекомендуем приказом руководителя компании внести в перечень лиц имеющих доступ к коммерческой тайне, работников допущенных к ней. Образец приказа на приведен на рисунке 2.
Рисунок 2. Приказ об утверждении перечня лиц, имеющих доступ к коммерческой тайне
Внедрите режим коммерческой тайны, защитите информацию, минимизируйте риск уголовного дела
Мы разработали все необходимые образцы документов для внедрения коммерческой тайны. Вот список этих документов:
- описание внедрения документов по коммерческой тайне (42 стр.)
- положение о коммерческой тайне с приложениями № 1 и 2 (15 стр.)
- решение единственного участника об утверждении положения (1 стр.)
- лист ознакомления с положением о коммерческой тайне (2 стр.)
- реестр работников, получивших доступ (1 стр.)
- приказ о допуске к информации (1 стр.)
- соглашение о конфиденциальности (4 стр.)
- дополнительное соглашение к трудовому договору (7 стр.)
- гриф «коммерческая тайна» (бирки) (1 стр.)
Вы получаете не только документы, но и полную, детальную инструкцию по их применению и внедрению режима коммерческой тайны.
Узнайте подробнее о внедрении коммерческой тайны
Режим коммерческой тайны – это возможность сохранить в секрете информацию компании и снизить до минимума риск уголовного дела против директора.
Требования по защите конфиденциальной информации, обрабатываемой в автоматизированных системах
6.1. Общие требования
6.1.1. Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, предусматривает комплекс организационных, программных, технических средств и мер по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.
6.1.2. Основными направлениями защиты информации являются:
- обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД и специальных воздействий;
- обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
6.1.3. В качестве основных мер защиты информации используются:
- документальное оформление перечня сведений конфиденциального характера;
- реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
- ограничение доступа персонала и посторонних лиц в ЗП и помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
- учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее их хищение, подмену и уничтожение;
- резервирование технических средств и дублирование массивов и носителей информации;
- использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
- использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
- использование сертифицированных средств защиты информации;
- размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;
- использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания);
- размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
- организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;
- предотвращение внедрения в АС программ-вирусов, программных закладок.
6.1.4. Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение ими установленного в организации порядка обеспечения защиты этой информации.
Для получения доступа к конфиденциальной информации они должны изучить требования настоящего документа, других нормативных документов по защите информации, действующих в организации в части их касающейся.
6.2. Основные требования по защите информации
Организация, состав и содержание проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны отвечать требованиям раздела 4 настоящего документа.
6.2.1. В организации должны быть документально оформлены перечни сведений конфиденциального характера, подлежащих защите. Эти перечни могут носить как обобщающий характер в области деятельности организации, так и иметь отношение к какому-либо отдельному направлению работ. Все исполнители должны быть ознакомлены с этими перечнями в части, их касающейся.
6.2.2. АС, обрабатывающие конфиденциальную информацию, должны защищаться в соответствии с требованиями настоящего документа.
6.2.3. Для обработки информации, содержащей сведения, составляющие служебную тайну, или содержащей персональные данные следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, безопасности, по санитарным нормам, предъявляемым к видеодисплейным терминалам, ПЭВМ.
Для повышения уровня защищенности информации следует использовать сертифицированные по требованиям безопасности информации СВТ.
Для передачи конфиденциальной информации по каналам связи, выходящим за пределы КЗ, использовать защищенные каналы связи, а при использовании открытых каналов связи применять криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.
Решение о составе и содержании мероприятий, а также используемых средств защиты информации принимается руководителем организации по результатам обследования АС с учетом важности (ценности) защищаемой информации.
6.3. Порядок обеспечения защиты информации при эксплуатации АС
6.3.1. Эксплуатация АС и СЗИ в ее составе осуществляется в соответствии с установленным в организации порядком, в том числе технологическими инструкциями по эксплуатации СЗИ НСД для пользователей, администраторов АС и работников службы информационной безопасности.
6.3.2. Для обеспечения защиты информации в процессе эксплуатации АС предусматривать соблюдение следующих основных положений и требований:
- допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), производиться в соответствии с порядком, установленным разрешительной системой допуска;
- на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации;
- допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с санкции руководителя организации или руководителя службы безопасности;
- в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;
- при увольнении или перемещении администраторов АС, администраторов ИБ службой информационной безопасности (по согласованию с руководителем организации) должны быть приняты меры по оперативному изменению паролей и идентификаторов.
6.3.3. Временно не используемые носители информации должны храниться пользователем в местах, недоступных для посторонних лиц.
6.4. Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ
6.4.1. Автоматизированные системы могут быть выполнены в виде автоматизированных рабочих мест (АРМ) на базе автономных ПЭВМ с необходимым для решения конкретных задач периферийным оборудованием (принтер, сканер, внешние накопители и т.п.).
6.4.2. Корпус автономной ПЭВМ должен быть опечатан (опломбирован).
6.4.3. Настройки BIOS автономной ПЭВМ должны быть защищены административным паролем.
6.4.4. Вход в систему при загрузке BIOS должен быть защищен пользовательским паролем.
6.4.5. Не используемые в процессе выполнения служебных задач внешние запоминающие устройства (дисководы дискет и CD и DVD ROM), также порты USB должны быть заблокированы.
6.5. Защита информации в локальных вычислительных сетях.
6.5.1. Характерными особенностями ЛВС являются распределенное хранение файлов, их удаленная обработка и передача, а также сложность проведения контроля за работой пользователей и состоянием общей защищенностью ЛВС.
6.5.2. Для управления, контроля защищенности ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты.
6.5.3. Состав пользователей ЛВС должен строго контролироваться. Все изменения состава пользователей, их прав и привилегий должны регистрироваться. Эти изменения осуществляются по письменным заявкам руководителей соответствующих подразделений.
6.5.4. Для идентификации и аутентификации пользователей в ЛВС используются идентификаторы и пароли. Порядок их использования регламентируется соответствующим документом (Порядком организации парольной защиты).
6.6. Защита информации при межсетевом взаимодействии
6.6.1. Положения данного подраздела относятся к взаимодействию локальных сетей, ни одна из которых не имеет выхода в сети общего пользования типа Internet.
6.6.2. Контроль взаимодействия ЛВС с другими вычислительными сетями должен быть постоянным и осуществляться с использованием средств контроля (средств обнаружения вторжений, мониторинга сети, активного аудита и т.п.). Коммуникационное оборудование и все точки соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах КЗ.
6.6.3. При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) разделять трафик отдельных сетевых фрагментов с учетом решаемых задач пользователей ЛВС.
6.6.4. Подключение ЛВС к другой автоматизированной системе (локальной или распределенной вычислительной сети) должно осуществляться с использованием межсетевых экранов (далее — МЭ).
6.6.5. Для защиты конфиденциальной информации, передаваемой между различными АС по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, а при использовании открытых каналов связи — сертифицированные криптографические средства защиты информации.
6.7. Защита информации при работе с системами управления базами данных
6.7.1. При работе с системами управления базами данных (далее — СУБД) и базами данных (далее — БД) необходимо учитывать следующие особенности защиты информации от НСД:
- в БД может накапливаться большой объем интегрированной информации по различным тематическим направлениям, предназначенной для различных пользователей;
- БД могут быть физически распределены по различным устройствам и узлам сети;
- БД могут включать информацию различного уровня конфиденциальности;
- разграничение доступа пользователей к объектам БД: (таблицам, схемам, процедурам, записям, полям записей в таблицах и т.п.), может осуществляться только средствами СУБД, если таковые имеются;
- регистрация действий пользователей при работе с объектами БД может осуществляться также только средствами СУБД, если таковые имеются;
- СУБД могут обеспечивать одновременный доступ многих пользователей (клиентов) к БД с помощью сетевых протоколов, при этом запросы пользователя к БД обрабатываются на сервере и результаты обработки направляются пользователям (клиентам).
6.7.2. С учетом указанных особенностей при создании БД рекомендуется:
- при выборе СУБД ориентироваться на операционные системы и СУБД, включающие либо штатные СЗИ от НСД, либо имеющие соответствующие дополнения в виде СЗИ от НСД;
- при использовании СУБД, не имеющих средств разграничения доступа, производить разбиение БД на отдельные файлы, разграничение доступа к которым можно проводить средствами ОС и/или СЗИНСД;
- при использовании современных СУБД, основанных на модели клиент-сервер, использовать их штатные средства защиты информации от НСД, применять средства регистрации (аудита) и разграничение доступа к объектам БД на основе прав, привилегий, ролей, представлений (VIEW), процедур и т.п.