O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

пр Увольнение за разглашение КТ

13.778 visualizações

Publicada em

Презентация "Увольнение за разглашение охраняемой законом тайны. Практические аспекты", которую я читал в НИУ ВШЭ 11 декабря 2015

Publicada em: Direito
  • Seja o primeiro a comentar

пр Увольнение за разглашение КТ

  1. 1. Увольнение за разглашение охраняемой законом тайны. Практические аспекты Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave
  2. 2. 2 Прозоров Андрей, CISM Руководитель экспертного направления Solar Security Опыт в ИБ: 9 лет Рабочие группы по ИБ: Совет Федерации, Государственная Дума РФ, Совет Безопасности РФ, ФСТЭК России, ЦБ РФ, Минздрав России, АРПП Членство в ассоциациях ИБ: АРСИБ, ISACA, BISA, RISC Преподаю курсы по ИБ: АНХ при Правительстве РФ, Академия Информационных Систем, УЦ НПО Сапфир Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave
  3. 3. 3 Я не юрист!!! Но есть практический опыт по ряду вопросов (построение режима КТ, выполнение требований по ПДн, судебная практика по вопросам увольнения за разглашение охраняемой законом тайны, участие в рабочих группах по разработке законов и других НПА…) Широкий кругозор и наличие здравого смысла…
  4. 4. • А зачем все это надо? • Краткое содержание ТК РФ • 6 типовых ошибок при увольнении (подробно) • Вспомним про УК РФ 4 Краткое содержание курса
  5. 5. К сожалению, будет много текстовых слайдов. Тема обязывает… 5
  6. 6. 1. Полезно знать специалистам по ИБ, юристам, сотрудникам отдела персонала 2. Инциденты (разглашение охраняемой законом тайны) случаются регулярно 3. Увольнения по соответствующей статье происходят все чаще и чаще… 4. Работодатели предпочитают преследовать по ТК РФ, а не по УК РФ 5. Уже много судебной практики (победы и работников и работодателей) 6 Почему тема актуальна?
  7. 7. 7 Почему тема проблемная? Корпоративные юристы (и сотрудники отдела персонала) обычно слабо разбираются в особенностях законодательства по ИБ. Аналогично и специалисты по ИБ редко понимают юридические риски и саму процедуру увольнения работников.
  8. 8. Кстати, судебную практику по теме найти не просто… 8
  9. 9. 9 Попробуем разобраться…
  10. 10. 10
  11. 11. Целями трудового законодательства являются установление государственных гарантий трудовых прав и свобод граждан, создание благоприятных условий труда, защита прав и интересов работников и работодателей. 11 ТК РФ
  12. 12. 12 Статья 21. Основные права и обязанности работника Работник обязан: • добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; • соблюдать правила внутреннего трудового распорядка; • … Статья 22. Основные права и обязанности работодателя Работодатель имеет право: • … • требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя (в том числе к имуществу третьих лиц, находящемуся у работодателя, если работодатель несет ответственность за сохранность этого имущества) и других работников, соблюдения правил внутреннего трудового распорядка; • принимать локальные нормативные акты • …
  13. 13. 13 Основания для прекращения ТД ТК РФ Статья 77. Общие основания прекращения трудового договора Основаниями прекращения трудового договора являются: 1) соглашение сторон; 2) истечение срока трудового договора, за исключением случаев, когда трудовые отношения фактически продолжаются и ни одна из сторон не потребовала их прекращения; 3) расторжение трудового договора по инициативе работника; 4) расторжение трудового договора по инициативе работодателя; … 9) отказ работника от перевода на работу в другую местность вместе с работодателем; …
  14. 14. Статья 81. Расторжение трудового договора по инициативе работодателя 3) несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации; … 5) неоднократного неисполнения работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание; … 11) представления работником работодателю подложных документов при заключении трудового договора; 14 «Полезные» основания для увольнения работников (ТК РФ)
  15. 15. 6) однократного грубого нарушения работником трудовых обязанностей: а) прогула, то есть отсутствия на рабочем месте без уважительных причин в течение всего рабочего дня (смены), независимо от его (ее) продолжительности, а также в случае отсутствия на рабочем месте без уважительных причин более четырех часов подряд в течение рабочего дня (смены); б) появления работника на работе (на своем рабочем месте либо на территории организации - работодателя или объекта, где по поручению работодателя работник должен выполнять трудовую функцию) в состоянии алкогольного, наркотического или иного токсического опьянения; в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника; г) совершения по месту работы хищения (в том числе мелкого) чужого имущества, растраты, умышленного его уничтожения или повреждения, установленных вступившим в законную силу приговором суда или постановлением судьи, органа, должностного лица, уполномоченных рассматривать дела об административных правонарушениях; д) установленного комиссией по охране труда или уполномоченным по охране труда нарушения работником требований охраны труда, если это нарушение повлекло за собой тяжкие последствия (несчастный случай на производстве, авария, катастрофа) либо заведомо создавало реальную угрозу наступления таких последствий; 15 «Полезные» основания для увольнения работников (ТК РФ)
  16. 16. 16 Опытный специалист отдела персонала всегда найдет основание для увольнения…
  17. 17. 17 По инициативе работника По соглашению сторон По инициативе работодателя Основание ТК РФ ст.80 ТК РФ ст.78 ТК РФ ст.81 За разглашение – ст.81 п.6 в) Мотив компании Без сложностей расстаться с нелояльным сотрудником Расстаться с работником, минимизировать возможные риски Наказать, создать прецедент для других работников Ограничение по срокам Минимальное (2 недели), но работник может отозвать заявление Нет Не позднее 6 месяцев со дня совершения проступка, Не позднее 1 месяца со дня обнаружения Обида сотрудника Обычно нет, если увольнение без принуждения Обычно нет, при хороших условиях соглашения Обычно да Желание оспорить в суде Возможно, если было принуждение к увольнению Обычно желания нет. Суд на стороне работодателя Да, особенно если есть сильные аргументы (ошибки при увольнении, принуждение, оговор) Что другие работники думают? «Компания не хочет проблем» «За сотрудником сила, компания не хочет проблем» «За компанией сила, могут наказать»
  18. 18. 18 Хитрые обиженные работники могут сказать… «На меня было оказано давление. Написал заявление об увольнении не по собственному желанию, а по принуждению»
  19. 19. 19 Предложение работнику написать заявление об увольнении по собственному желанию может быть признано принуждением к увольнению. К заявлению работника о расторжении трудового договора предъявляются следующие требования: • добровольность • определенность • соблюдение установленной формы
  20. 20. 20 Дисциплинарные взыскания «За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания: 1. замечание; 2. выговор; 3. увольнение по соответствующим основаниям.» Важно по ТК РФ ст.192-193: • 1 дисциплинарный проступок – 1 дисциплинарное взыскание • Не позднее 6 месяцев со дня совершения проступка • Не позднее 1 месяца со дня обнаружения проступка • Необходимо запросить от работника письменное объяснение
  21. 21. ТК РФ ст.238-250 • Работник обязан возместить работодателю причиненный ему прямой действительный ущерб. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат. • Работник несет материальную ответственность в пределах своего среднего месячного заработка. Если больше, то нужно судебное решение. 21 Мат. ответственность по ТК РФ
  22. 22. Статья 81. Расторжение трудового договора по инициативе работодателя Трудовой договор может быть расторгнут работодателем в случаях: 6) однократного грубого нарушения работником трудовых обязанностей: в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника 22
  23. 23. 23 Отдел персонала Отдел ИБ Юристы Увольнение по ст.81 п.6 в) необходимо производить согласованно и при одобрении руководства
  24. 24. Шаг 1. Компания увольняет работника «по статье» 81 п.6 в) Шаг 2. Работник обижается и подает в суд исковое заявление Шаг 3. ??? выигрывает суд(-ы) 24 Типовой сценарий
  25. 25. • Все молодцы! Может даже премию дадут… • Полезный прецедент на работе • Повышение авторитета руководства, ИБ, HR, юристов 25 Если выигрывает работодатель
  26. 26. • Взыскание среднего заработка за время вынужденного прогула • Компенсация морального вреда (редко и мало) • Потраченное зря время сотрудников ИБ, HR, юристов • Снижение авторитета руководства, ИБ, HR, юристов • Новые риски при восстановлении обиженного работника • Репутационные риски компании 26 Если выигрывает работник
  27. 27. 27 Мы изучили, обобщили и выделили главное из судебной практики по теме...
  28. 28. 1. Нарушение процедуры увольнения 2. Отсутствие факта разглашения 3. Отсутствие режима защиты информации (особенно КТ) 4. Нарушение конституционных прав работников при сборе доказательной базы 5. «Детективные игры» 6. Слабая аргументация для Суда 28 Все типовые ошибки
  29. 29. 29 Ошибка №1 Нарушение процедуры увольнения
  30. 30. Статья 193. Порядок применения дисциплинарных взысканий До применения дисциплинарного взыскания работодатель должен затребовать от работника письменное объяснение. Если по истечении двух рабочих дней указанное объяснение работником не предоставлено, то составляется соответствующий акт. Непредоставление работником объяснения не является препятствием для применения дисциплинарного взыскания. Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников. Дисциплинарное взыскание не может быть применено позднее шести месяцев со дня совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки - позднее двух лет со дня его совершения. В указанные сроки не включается время производства по уголовному делу. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание. Приказ (распоряжение) работодателя о применении дисциплинарного взыскания объявляется работнику под роспись в течение трех рабочих дней со дня его издания, не считая времени отсутствия работника на работе. Если работник отказывается ознакомиться с указанным приказом (распоряжением) под роспись, то составляется соответствующий акт. Дисциплинарное взыскание может быть обжаловано работником в государственную инспекцию труда и (или) органы по рассмотрению индивидуальных трудовых споров. 30
  31. 31. • Не позднее 1 месяца со дня обнаружения проступка • Не позднее 6 месяцев со дня совершения проступка 31 Важно успеть в срок
  32. 32. 32 Важно получить (запросить) письменное объяснение!!!
  33. 33. «Лучшая защита - это нападение, поэтому вместо "объяснительной" всегда пиши "докладную"»  33 Иногда работники идут по этому пути
  34. 34. 34 «Идеальная» процедура увольнения № Шаги Ключевое подразделение Документы 1. Обнаружение инцидента, сбор дополнительной информации ИБ Краткий отчет об инциденте, Служебная записка 2. Обсуждение возможных вариантов реагирования Руководство и HR Приказ о проведении служебного расследования (о создании Комиссии) 3. Запрос объяснительной записки от работника (желательно под роспись) HR Объяснительная записка / Акт об отказе 4. Заседание Комиссии (хорошей практикой является заседание 2х комиссий: по расследованию и по кадровым вопросам) HR, ИБ Протокол(-ы) заседания комиссии (краткое описание инцидента, оценка тяжести проступка, обстоятельства дела, величина ущерба, решение) 5. Принятие решения об увольнении, издание соответствующего приказа HR, руководство Приказ о применении дисциплинарного взыскания / Акт об отказе ознакомления
  35. 35. • Не усложняйте! Решение о «виновности» работника и «тяжести проступка» принимает Комиссия • Решение об увольнении принимается Руководством на основании протокола Комиссии 35 А что с доказательством вины?
  36. 36. 36 Ошибка №2 Отсутствие факта разглашения
  37. 37. 37 Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. 149-ФЗ
  38. 38. 38 Кража электронных носителей и/или средств обработки информации Корпоративная эл.почта Личная эл.почта (с корп.устройств) Сеть Интернет Корпоративные мессенджеры Агент на ПК для облачных хранилищ Персональные мессенджеры Предоставление неправомерных расширенных прав доступа к ИС Вынос бумажных документов (твердые копии) Фото и видео Аудио (разговор) Личная эл.почта (с персональных устройств) Внешние (съемные) носители Печать документов Синхронизация мобильных устройств Просто доказать Сложно доказать Сложно выявить Просто выявить Про каналы утечки
  39. 39. 39 Если не можете доказать разглашение, то можете наказать за нарушение правил внутреннего трудового распорядка и правил обработки (защиты) информации ограниченного доступа
  40. 40. 40 Ошибка №3 Отсутствие режима защиты информации (особенно КТ)
  41. 41. 41 Что надо знать и понимать? 149-ФЗ об информации, ИТ и ЗИ от 2006 152-ФЗ о ПДн от 2006 98-ФЗ о КТ от 2004 Указ 188 о перечне КИ от 1997 + отраслевые ФЗ, определяющие требования к защите информации
  42. 42. Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» 1. Настоящий Федеральный закон регулирует отношения, возникающие при: 1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации. 2. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации, за исключением случаев, предусмотренных настоящим Федеральным законом. 42 149-ФЗ
  43. 43. 1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, РФ, субъект РФ, муниципальное образование. 2. От имени РФ, субъекта РФ, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами. 3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе: 1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; 2) использовать информацию, в том числе распространять ее, по своему усмотрению; 3) передавать информацию другим лицам по договору или на ином установленном законом основании; 4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; 5) осуществлять иные действия с информацией или разрешать осуществление таких действий. 4. Обладатель информации при осуществлении своих прав обязан: 1) соблюдать права и законные интересы иных лиц; 2) принимать меры по защите информации; 3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами. 43 Статья 6. Обладатель информации
  44. 44. Статья 5 Информация как объект правовых отношений 2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). 44 Термин ИОД
  45. 45. Статья 9. Ограничение доступа к информации 1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. 2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. 3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне. 4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. 5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. 6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда. 7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе. 8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами. 9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных. 45
  46. 46. 1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. 2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации. 46 Статья 16. Защита информации (1)
  47. 47. 4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации; 7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации. 5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. 6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. 47 Статья 16. Защита информации (2)
  48. 48. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; 3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных 48 152-ФЗ
  49. 49. Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 2. Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 5) учетом машинных носителей персональных данных; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 49
  50. 50. Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне» Статья 1. Цели и сфера действия настоящего Федерального закона 1. Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. 2. Положения настоящего Федерального закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована. 3. Положения настоящего Федерального закона не распространяются на сведения, отнесенные в установленном порядке к государственной тайне, в отношении которой применяются положения законодательства Российской Федерации о государственной тайне. 50 98-ФЗ
  51. 51. 1) коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; 2) информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны; 4) обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны; 5) доступ к информации, составляющей коммерческую тайну, - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации; 9) разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. 51 Термины
  52. 52. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации 52
  53. 53. Статья 5. Сведения, которые не могут составлять коммерческую тайну Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений: 1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры; 2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности; 3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов; 4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно- эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом; 5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест; 6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам; 7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений; 8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности; 9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации; 10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица; 11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами. 53 НЕ могут составлять КТ
  54. 54. Статья 6.1. Права обладателя информации, составляющей коммерческую тайну 1. Права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении этой информации режима коммерческой тайны в соответствии со статьей 10 настоящего Федерального закона. 2. Обладатель информации, составляющей коммерческую тайну, имеет право: 1) устанавливать, изменять, отменять в письменной форме режим коммерческой тайны в соответствии с настоящим Федеральным законом и гражданско-правовым договором; 2) использовать информацию, составляющую коммерческую тайну, для собственных нужд в порядке, не противоречащем законодательству Российской Федерации; 3) разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации; 4) требовать от юридических лиц, физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязанностей по охране ее конфиденциальности; 5) требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в результате действий, совершенных случайно или по ошибке, охраны конфиденциальности этой информации; 6) защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав. 54 Права обладателя КТ
  55. 55. 1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя: 1) определение перечня информации, составляющей коммерческую тайну; 2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; 5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). 55 Меры по охране (ст.10)
  56. 56. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, указанных мер 56
  57. 57. Наряду с указанными мерами обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. 5. Меры по охране конфиденциальности информации признаются разумно достаточными, если: 1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя; 2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны. 57
  58. 58. 58 98-ФЗ: Возмещение убытков 3. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работник обязан: … 3) возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей; 4. Работодатель вправе потребовать возмещения убытков, причиненных ему разглашением информации, составляющей коммерческую тайну, от лица, получившего доступ к этой информации в связи с исполнением трудовых обязанностей, но прекратившего трудовые отношения с работодателем, если эта информация разглашена в течение срока действия режима коммерческой тайны. 5. Причиненные работником или прекратившим трудовые отношения с работодателем лицом убытки не возмещаются, если разглашение информации, составляющей коммерческую тайну, произошло вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы.
  59. 59. Ст.11 8. Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением трудовых обязанностей. 59
  60. 60. Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера» В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти постановляю: Утвердить прилагаемый перечень сведений конфиденциального характера. 60 Указ №188
  61. 61. 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 2. Сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с федеральными законами от 20 апреля 1995 г. N 45-ФЗ "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов" и от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства", другими нормативными правовыми актами РФ принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством РФ такие сведения не отнесены к сведениям, составляющим государственную тайну. 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. 7. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ "Об исполнительном производстве". 61 Перечень сведений конф.характера
  62. 62. Сведения, отнесенные к категории ограниченного доступа • В справке «Консультант +» определено 50 таких сведений • Часто термины и границы определены не явно, виды тайн «смешиваются» 62 «Виды тайн»
  63. 63. 63 Тайна Основание Тайна Основание Государственная тайна ФЗ №5485-1 ст.5 УП №1203 149-ФЗ ст.9 п.3 Персональные данные 152-ФЗ 149-ФЗ ст.9 п.9 УП №188 п.1 Коммерческая тайна 98-ФЗ 149-ФЗ ст.9 п.4 УП №188 п.5 Секрет производства (ноу-хау) ГК РФ IV ст.1465 УП №188 п.6 Профессиональная тайна 149-ФЗ ст.9 п.4-7 УП №188 п.4 Врачебная тайна 323-ФЗ ст.13 УП №188 п.4 Банковская тайна (тайна банковских вкладов) ФЗ №395-1 ст.26 ГК РФ II, ст. 857 Тайна кредитной истории 218-ФЗ ст.6 и 7, содержание кр.истории – ст.4 Инсайдерская информация 224-ФЗ Служебная тайна 149-ФЗ ст.9 п.4 УП №188 п.3 Тайна связи (переписки, переговоров…) Конституция РФ ст.23 п.2 126-ФЗ ст.63 176-ФЗ ст.15 УП №188 п.4 149-ФЗ ст.9 п.4-7 Личная и семейная тайна Конституция РФ ст.23 п.1 ГК РФ ст.150 п.1 149-ФЗ ст.9 п.8
  64. 64. 64 В случае оспаривания работником увольнения по подпункту "в" пункта 6 части первой статьи 81 Кодекса работодатель обязан представить доказательства, свидетельствующие о том, что: 1. сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, 2. эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей 3. и он обязывался не разглашать такие сведения. Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 28.09.2010) "О применении судами Российской Федерации Трудового кодекса Российской Федерации"
  65. 65. • Отсутствие режима КТ (не все требования выполнены) • Отсутствие перечня информации ограниченного доступа или он не полный (детализация, кстати, не важна) • Внесение в перечень сведений, которые не могут составлять КТ • Отсутствие документированных обязательств о неразглашении • Отсутствие документированных требований по обработке и защите информации ограниченного доступа • Отсутствие подтверждения ознакомления работников с требованиями • Отсутствие разграничения доступа к информации (все имеют доступ ко всему) 65 Типовые ошибки
  66. 66. Перечень информации ограниченного доступа (или аналоги) – важнейший документ!!! Рекомендации по составу прочих регламентирующих документов по ИБ будут далее (в ошибке №6)… 66
  67. 67. 67 Хитрые обиженные работники могут сказать… «А на разглашенных документах не был проставлен гриф конфиденциальности…»
  68. 68. Для Суда это не критично, если есть документированные требования по простановке грифа, и разглашенная информация соответствует Перечню информации ограниченного доступа. Работник мог намерено не проставить/убрать гриф… 68
  69. 69. 69 Если режим КТ не установлен, а информация была разглашена, то посмотрите на ее состав. Возможно получится доказать разглашение ПДн (или другой тайны), а не КТ…
  70. 70. 70 Хитрые обиженные работники могут сказать… «Не были ознакомлены ни с перечнем информации ограниченного доступа, ни с правилами обработки и защиты»
  71. 71. Для Суда это не критично. Попробуйте доказать, что все ознакамливаются и/или корпоративная культура ИБ предполагает такое ознакомление. Могут быть вызваны свидетели подтверждающие это. Идеальный вариант: наличие подписи работника в журнале ознакомления. 71
  72. 72. 72 Ошибка №4 Нарушение конституционных прав работников
  73. 73. 73 Хитрые обиженные работники могут спросить… «А не нарушил ли работодатель конституционные права работника (на личную и семейную тайну, на тайну переписки) при сборе доказательств разглашения?»
  74. 74. 74 Все ОК, обычно не нарушают… (но см. ошибку №5)
  75. 75. 75 Статья 23 1) Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2) Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
  76. 76. 76 Личная и семейная тайна Конституция РФ (ст.23 п.1): «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.» ГК РФ (ст.150 п.1): «Жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, неприкосновенность жилища, личная и семейная тайна, свобода передвижения, свобода выбора места пребывания и жительства, имя гражданина, авторство, иные нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом.»
  77. 77. 77 Понятия «частная жизнь», «личная и семейная тайна» в явном виде не определены… Комментарий Консультант+: Частная жизнь - это то времяпрепровождение, которое гражданин осуществляет вне службы, вне производственной обстановки, а также вне общественной жизни и общественного окружения. Она включает общение между людьми на неформальной основе в сферах семейной жизни, родственных, дружеских, товарищеских связей, интимных и других личных отношений, привязанностей, симпатий и антипатий. Частная жизнь также проявляется в состоянии здоровья лица (его физических и психических недостатках и т.п.), образе его мыслей, отношении к религии, сексу, в политическом и социальном мировоззрении, увлечениях, творчестве и т.п. Некоторые ученые к сведениям "о личной и частной жизни" лица относят также данные о совершении "нотариальных действий, записи актов гражданского состояния, имущественном положении" Выдержка из судебной практики: Частная жизнь - это те стороны личной жизни человека, которые он в силу своей свободы не желает делать достоянием других. Это - своеобразный суверенитет личности, означающий неприкосновенность его среды обитания.
  78. 78. 78 149-ФЗ Статья 9. Ограничение доступа к информации 8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами. ГК РФ Статья 152.2. Охрана частной жизни гражданина 1. Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни. Не являются нарушением правил, установленных абзацем первым настоящего пункта, сбор, хранение, распространение и использование информации о частной жизни гражданина в государственных, общественных или иных публичных интересах, а также в случаях, если информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле. 2. Стороны обязательства не вправе разглашать ставшую известной им при возникновении и (или) исполнении обязательства информацию о частной жизни гражданина, являющегося стороной или третьим лицом в данном обязательстве, если соглашением не предусмотрена возможность такого разглашения информации о сторонах.
  79. 79. 79 Тайна связи Конституция РФ (ст.23 п.2): Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Указ Президента РФ №188 "Об утверждении Перечня сведений конфиденциального характера" п.4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
  80. 80. 80 О связи 126-ФЗ «О связи». Статья 63. Тайна связи 1. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи. Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами. 2. Операторы связи обязаны обеспечить соблюдение тайны связи. 176-ФЗ «О Почтовой связи». Статья 15. Тайна связи Тайна переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи, гарантируется государством. Осмотр и вскрытие почтовых отправлений, осмотр их вложений, а также иные ограничения тайны связи допускаются только на основании судебного решения. Все операторы почтовой связи обязаны обеспечивать соблюдение тайны связи. Информация об адресных данных пользователей услуг почтовой связи, о почтовых отправлениях, почтовых переводах денежных средств, телеграфных и иных сообщениях, входящих в сферу деятельности операторов почтовой связи, а также сами эти почтовые отправления, переводимые денежные средства, телеграфные и иные сообщения являются тайной связи и могут выдаваться только отправителям (адресатам) или их представителям.
  81. 81. 81 Термин «тайна связи» определен лишь в 176-ФЗ «О почтовой связи», что уже интересно… Тайна связи - тайна переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи, не подлежащая разглашению без согласия пользователя услуг почтовой связи. Термин «оператор связи» определен в 126-ФЗ Оператор связи - юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии.
  82. 82. 82 Регуляторы рекомендуют (обязывают) использовать средства мониторинга и контроля. Например, для защиты ПДн и информации, обрабатываемой в государственных ИС.
  83. 83. 83 Требования и рекомендации ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ Контроль содержания информации, передаваемой из информационной системы, должен предусматривать: • выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них; • выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них; • выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них; • выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них; • контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах; • выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы). Требования к усилению • в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором; • в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием Методический документ. Меры защиты информации в государственных ИС
  84. 84. Не будем вдаваться в тему, сразу перейдем к стратегии аргументации работодателя, которую полезно понимать… 84
  85. 85. 1. Работодатель, как обладатель (владелец) информации, информационных систем и сервисов, обладает правом предъявлять требования по их использованию и контролировать их выполнение. В организации определен Перечень информации ограниченного доступа, Правила работы с информацией ограниченного доступа, Политика допустимого использования (средств обработки и ИТ-сервисов). В частности, в явном виде запрещена передача информации ограниченного доступа с использованием персональных средств и систем (например, личной электронной почты или мессенджеров, не утвержденных в организации). 2. Работникам в явном виде запрещено хранить личную информацию на корпоративных ресурсах (рабочие станции и файловые хранилища) и передавать ее по корпоративным каналам связи (эл.почта и сеть Интернет). 3. Работники уведомлены, что правила использования корпоративной информации и информационных ресурсов регулярно контролируются с использованием средств мониторинга. 4. Работодатель не является оператором связи, не предоставляет такого рода услуги и не обеспечивает тайну связи для передачи информации по своим корпоративным каналам. О возможности мониторинга и контроля корпоративной переписки известно работникам (см.п 3). 85 Стратегия работодателя
  86. 86. 5. У работодателя отсутствует умысел нарушения тайны частной жизни. Предполагается, что на контролируемых ресурсах таких данных нет. 6. Если личная информация будет обнаружена на корпоративных ресурсах, то она будет удалена, а к работнику могут применяться дисциплинарные взыскания за нарушение правил внутреннего трудового распорядка. 7. Обнаруженная личная информация не будет использована (по крайней мере официально) при принятии решений. 8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников. Содержание информации, хранимой в личных сервисах передачи данных (например, внешняя эл.почта) не проверяется даже при получении такой возможности (по крайней мере официально). 9. У работодателя отсутствует умысел нарушения тайны переписки при контроле входящей почты. Работники уведомлены, что они обязаны уведомить тех, с кем общаются, о недопустимости использовании корпоративных сервисов для осуществления любых видов коммуникаций, не связанных со служебной деятельностью. 10. Информация, обнаруженная во входящих сообщениях, не будет использована (по крайней мере официально) при принятии решений. 86 Стратегия работодателя(продолжение)
  87. 87. 87 Ошибка №5 «Детективные игры»
  88. 88. • Взлом личной электронной почты, аккаунтов в соц.сетях и др. • Скрытая аудио и видео съемка • Личный обыск, изъятие персональных средств обработки и хранения информации • «Выбивание» признания • Принуждение свидетелей 88 Иногда работодателей «заносит» при расследовании инцидентов… Не рекомендуем!!!
  89. 89. Изучите: • Закон № 144-ФЗ «Об оперативно-розыскной деятельности» • Закон № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации» • «Уголовно-процессуальный кодекс Российской Федерации» (УПК РФ) И взаимодействуйте с: 89 Но если совсем нужно, то
  90. 90. 90 Ошибка №6 Слабая аргументация для Суда
  91. 91. • Понимайте свои сильные и слабые стороны • Ведите хронологию события • Соберите максимум документов • Проинструктируйте и потренируйте свидетелей. Должны знать хронологию события, порядок обработки и защиты информации в организации • Будьте готовы к вопросам про доказательство разглашения информации («решение приняла Комиссия»), наличие мотива у работника и величину ущерба («пока не определен, но если посчитаем, то подадим на работника в суд») • Не рекомендуем врать и использовать подложные документы… 91 Рекомендации для Суда
  92. 92. 92 Документы для Суда 1. Локальные нормативные акты, связанные с трудовой деятельностью работника 2. Документы про инцидент и по процедуре увольнения 3. Документы про режим защиты информации 4. Прочее (для суда)
  93. 93. 93 Документы для Суда (подробно) 1. Локальные нормативные акты, связанные с трудовой деятельностью работника • Трудовой договор • Правила внутреннего трудового распорядка • Должностная инструкция работника • Положение о подразделении работника • Доп.соглашения с работником (ПДн, КТ и пр.) • Характеристика на работника (при наличии "полезных" фактов в биографии)
  94. 94. 94 Документы для Суда (подробно) 2. Документы про инцидент и по процедуре увольнения • Служебная записка и/или Отчет об инциденте • Хронология событий • Выгрузки отчетов из DLP и других средств мониторинга и защиты • Приказ о назначении комиссии по расследованию инцидента • Объяснительная работника / Акт об отказе • Протоколы заседаний Комиссии • Приказ об увольнении
  95. 95. 95 Документы для Суда (подробно) 3. Документы про режим защиты информации • Перечень информации ограниченного доступа • Положения об обработке и защите информации ограниченного доступа (ПДн, КТ и пр.) • Перечень лиц, допущенных к обработке • Документы, содержащие положения и процедуры по ИБ: общая политика ИБ, парольная защита, контроль доступа, допустимое использование ИС и сервисов, мониторинг и контроль, управление инцидентами и пр. • Выписка из Модели угроз и Модели нарушителя • ТЗ на систему защиты • Справка о DLP системы (функционал и сертификаты) • Положение о подразделении ИБ и должностные инструкции • Отчеты об аудитах и проверках ИБ, аттестаты соответствия • Отчеты и планы по обучению/инструктажу работников • Перечень документов по ИБ, с которыми ознакамливаются работники • Копии журналов ознакомления с документами и обучения работников по вопросам ИБ
  96. 96. 96 Документы для Суда (подробно) 4. Прочее (для Суда) • Исковое заявление • Возражение ответчика (на исковое заявление) • Перечень предоставленных документов
  97. 97. 1. Нарушение процедуры увольнения 2. Отсутствие факта разглашения 3. Отсутствие режима защиты информации (особенно КТ) 4. Нарушение конституционных прав работников при сборе доказательной базы 5. «Детективные игры» 6. Слабая аргументация для Суда 97 Все типовые ошибки
  98. 98. 98 А если наказание по УК РФ?
  99. 99. 99 Наказание по ТК РФ Наказание по УК РФ Мотив работодателя Хотим наказать быстро и просто, нужен прецедент Хотим сильно наказать (большой ущерб), нужен громкий прецедент Основание ТК РФ ст.81 УК РФ ст.183, 185.5 ст.159, 163 ст.272-274 Возмещение ущерба Обычно нет По решению суда, но надо доказать величину ущерба Трудозатраты Низкие Средние Общая длительность До 1 месяца Может быть несколько лет Процедура Простая, по ТК РФ Сложная, по УПК РФ Взаимодействие с правоохранительными органами Нет МВД России / ФСБ России Сложность сбора доказательной базы Низкая, решение принимает внутренняя комиссия Высокая, необходимо соблюсти все формальные процедуры
  100. 100. • Процедура взаимодействия с правоохранительными органами • Мотивация сотрудников правоохранительных органов • Процедуры сбора доказательной базы и гарантии неизменности цифровых доказательств • Оценка величины ущерба • Доказательство вины, достаточность доказательств 100 Сложности с преследованием по УК
  101. 101. • Это быстрее (и дешевле), «игра стоит свеч» • Процедура проще • Меньше риски проигрыша в суде 101 Обычно выбирают преследование по ТК РФ, а не УК РФ
  102. 102. 102 Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave Моя почта: prozorov.info@gmail.com

×