SlideShare uma empresa Scribd logo

Конфиденциальность корпоративных данных

Transferir como PPTX, PDF
A
AnnyScher

presportal.ru

Educação
1 de 26
Конфиденциальность корпоративных данных Наталья Лосева Менеджер проектов Acsour 2014 на примере данных о заработной плате
2 Понятие конфиденциальной информации Разглашение конфиденциальной информации Конфиденциальность данных о заработной плате Меры обеспечения конфиденциальности информации при расчете заработной платы Содержание
Понятие конфиденциальной информации
Конфиденциальность информации (149-ФЗ «Об информации…») – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. 4 Определение
1. Коммерческая выгода от информации для организации; 2. Недоступность в открытых источниках; 3. Соблюдение прав/интересов других субъектов; 4. Законность обладания информацией; 5. Применение работодателем специальных мер защиты. 5 Критерии конфиденциальности
Разглашение конфиденциальной информации
В большинстве стран нет единого нормативного акта, определяющего понятие конфиденциальной информации или коммерческой тайны. США: • есть закон о коммерческой тайне (1979); • соглашение о сохранении коммерческой тайны при приеме; • специальная разъяснительная работа с сотрудником; • сотрудник может подписать заявление о том, что он не вправе раскрывать секреты, полученные по предыдущему месту работы; Япония: • нет законов либо актов, предусматривающих ответственность за разглашение коммерческой тайны; • департаменты кадров контролируют неукоснительное соблюдение режима секретности сотрудниками; • сказывается действие концепции «пожизненного найма» и лояльности сотрудников компании. 7 Зарубежная практика
Разглашение информации - ситуация, когда информация становится известна третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. (На основании №98-ФЗ О коммерческой тайне, ст. 3, п 9) Неправомерный доступ – самовольное получение информации и ее использование лицом, не имеющим права ею владеть. ТК РФ устанавливает ответственность только за РАЗГЛАШЕНИЕ конфиденциальной информации, но не устанавливает ответственности за неправомерный ДОСТУП. 8 Определение Разглашение информации Неправомерный доступ
9 Каналы утечки информации Человеческий фактор, ошибки Намеренный ущерб, воровство Технические сбои электронных систем Недостатки контроля доступа к конфиденциальной информации Причины: Каналы утечки: Подготовленона основанииисточника:Исследование компанииInfoWatch,2013 Потеря мобильных устройств Кража/ потеря оборудования Съемные носители Сеть (браузер, Cloud) Электронная почта Бумажные документы IM (текст, голос, видео) Не определено
10 Неосведомленность сотрудников Каждый 2-ой не знаком с правилами информационной безопасности 1/3 самовольно использует системы хранения файлов (Dropbox, Google Docs) 1/4 не блокирует компьютер, покидая рабочее место Каждый 2-ой пересылает рабочие документы с рабочего ящика на личный 4 из 5-ти не уничтожают носители с корпоративной информацией 1/3 хранит пароли в легкодоступных местах или использует один и тот же пароль Конфиденциальная информация Каждый 2ой уволенный выносил конфиденциальные данные и использовал их на новой работе
Конфиденциальность данных о заработной плате
Несмотря на то, что: • в законодательстве РФ нет прямого указания, что организации обязаны относить информацию об оплате труда своих сотрудников к конфиденциальной, и • в российском праве отсутствует четкое определение понятия конфиденциальной информации, …на большинстве предприятий информация о заработной плате сотрудников конфиденциальна. 12 Конфиденциальность данных о заработной плате
1. Во многих компаниях сотрудники на одинаковых позициях или позициях одного уровня получают разную оплату труда. 2. Во многих компаниях существует заметный разрыв между оплатой труда высшего менеджмента и ключевых сотрудников и оплатой труда остального персонала. 13 Основания для конфиденциальности 2,9 Скандинавия 3,5 США 12,5 Россия 14,2 Бразилия, Китай, Индия Личный фактор Новые сотрудники Ситуация на рынке Слияния, поглощения Подготовленона основанииисточника:по данным компании HayGroup
ПОГЛОЩЕНИЕ Российское производство (FMCG) Международная компания: ПРОБЛЕМЫ Более высокие требования к обеспечению конфиденциальности информации. Новая команда топ-менеджеров – 50 чел. Различия корпоративной культуры. Возросшая социальная напряженность в коллективе. Аутсорсинг расчета заработной платы топ-менеджеров – 50 чел.; + Внутренний расчет остальных сотрудников – 3000 чел. 14 Пример: поглощение компании Преимущества данного решения: • Сохранение конфиденциальности уровня доходов новой команды менеджеров; • Минимальные затраты по сравнению с переводом на аутсорсинг полного расчет ЗП; • Снятие социальной напряженности в коллективе и сохранение занятости сотрудников отдела ЗП. Решение при поглощении компании более 3000 сотрудников 5 чел. более 50 лет
Меры обеспечения конфиденциальности информации при расчете заработной платы
16 Задачи 1. 2. 3. 4. Документы: • Снизить количество конфиденциальн ых документов Процессы: • Организовать хранение и движение информации и документов Люди: • Ограничить круг лиц, имеющих доступ к информации Ответственность: • Повысить уровень ответственности
17 Внутренний расчет (in-house) Единый Центр Обслуживания Аутсорсинг расчета ЗП Модели расчета ЗП
18 1. Четкий перечень конфиденциальной информации; 2. Внутренние политики; 3. Перечень КИ в трудовых договорах. 4. Источники конфиденциальной информации по ключевым сотрудникам (носители): • Кадровые документы (ТД, приказы, б/л) • Информация о З/П и начислениях в системе • Индивидуальные расчетные листки • Платежная ведомость в банк • Формы индивидуальных сведений для ПФ • Формы 2-НДФЛ для сдачи в налоговую • Внутренняя и управленческая отчетность Конфиденциальное делопроизводство 1. Документы
19 1. Организация рабочих мест и рабочего пространства; 2. Места и правила хранения информации и документов (электронные в системе, сканы, оригиналы, копии и др.); 3. Средства информационной и электронной безопасности (решения DLP – Data Loss Protection); 4. Регламент и контроль движения документов и информации; 5. Реестр работников, имеющих доступ к КИ и документам; 6. Соглашения о конфиденциальности; 7. Мотивация работников, владеющих КИ. Организация процессов 2. Процессы
20 Ограничение круга лиц доступ есть доступ возможен Главный бухгалтер Сотрудники бухгалтерии Директор по персоналу Сотрудники HR службы Ключевые сотрудники Руководство Остальные сотрудники Открытая информация Информация по остальным сотрудникам Информация по ключевым сотрудникам 3. Люди
21 Ограничение круга лиц при аутсорсинге доступ есть доступ возможен Главный бухгалтер Сотрудники бухгалтерии Директор по персоналу Сотрудники HR службы Ключевые сотрудники Руководство Остальные сотрудники Открытая информация Информация по остальным сотрудникам Информация по ключевым сотрудникам Аутсорсинг - ограничение круга лиц в компании, кто может получить доступ к конфиденциальной информации 3. Люди
За нарушение действующего законодательства РФ о коммерческой тайне предусмотрена дисциплинарная, административная, гражданско-правовая и уголовная ответственность. Возможность привлечь сотрудников за разглашение коммерческой тайны к ответственности (по ТК РФ): 1. Официально установленный режим коммерческой тайны 2. Установление грифа «Коммерческая тайна» на документе 3. Учет лиц, имеющих доступ к информации, составляющей коммерческую тайну 4. Доказательство ознакомления сотрудника с режимом коммерческой тайны 5. Доказательства факта разглашения коммерческой тайны третьим лицам 6. Запрос и получение объяснений от сотрудника 22 Ответственность 4. Ответственность
1. Ответственность и соглашение о неразглашении (как часть SLA) на уровне юридического лица, в рамках ГК РФ 2. Ответственность и соглашение о неразглашении на уровне сотрудников Провайдера 3. Ограничение допуска сотрудников Провайдера к информации Клиента • только команда обслуживания • только для выполнения конкретных задач • только на период участия в оказании услуг 4. Согласование списка и полномочий участников при обмене информацией 23 Ответственность при аутсорсинге 4. Ответственность
Аутсорсинг расчета заработной платы ключевых сотрудников позволяет: – Снизить риск разглашения конфиденциальной информации о доходах – Уменьшить объем документов с конфиденциальной информацией – Сократить круг лиц, имеющих доступ – Повысить надежность средств информационной защиты передачи данных – Обеспечить непрерывность процесса расчета и снизить влияние болезней, отпусков сотрудников бухгалтерии и пр. – Снизить нагрузку на отделы расчета З/П и кадровые отделы – Во многом снизить риски, связанные с трудовыми спорами, спорами с налоговыми органами, трудовыми инспекциями и проч. 24 Конфиденциальность при аутсорсинге
Процесс расчета заработной платы ключевых сотрудников может быть организован таким образом, чтобы: • выстроить надежные системы контроля учетных процессов; • снизить риски, связанные с уходом ключевых сотрудников; • сократить издержки вследствие централизации либо аутсорсинга учетных функций; • повысить конфиденциальность данных. 25 Заключение
www.acsour.com info@acsour.сom Follow us on LinkedIn 26

Recomendados

Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
 
SCIPorgua, CompetitiveCamp-2010, Секретные файлы невидимого интернета
SCIPorgua, CompetitiveCamp-2010, Секретные файлы невидимого интернетаSCIPorgua, CompetitiveCamp-2010, Секретные файлы невидимого интернета
SCIPorgua, CompetitiveCamp-2010, Секретные файлы невидимого интернета«ОБЩЕСТВО АНАЛИТИКОВ И ПРОФЕССИОНАЛОВ КОНКУРЕНТНОЙ РАЗВЕДКИ»
 
Информация о сотрудниках-под защитой. Примеры и практика. Типовые сценарии
Информация о сотрудниках-под защитой. Примеры и практика. Типовые сценарииИнформация о сотрудниках-под защитой. Примеры и практика. Типовые сценарии
Информация о сотрудниках-под защитой. Примеры и практика. Типовые сценарииКРОК
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recomendados

Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
 
SCIPorgua, CompetitiveCamp-2010, Секретные файлы невидимого интернета
SCIPorgua, CompetitiveCamp-2010, Секретные файлы невидимого интернетаSCIPorgua, CompetitiveCamp-2010, Секретные файлы невидимого интернета
SCIPorgua, CompetitiveCamp-2010, Секретные файлы невидимого интернета«ОБЩЕСТВО АНАЛИТИКОВ И ПРОФЕССИОНАЛОВ КОНКУРЕНТНОЙ РАЗВЕДКИ»
 
Информация о сотрудниках-под защитой. Примеры и практика. Типовые сценарии
Информация о сотрудниках-под защитой. Примеры и практика. Типовые сценарииИнформация о сотрудниках-под защитой. Примеры и практика. Типовые сценарии
Информация о сотрудниках-под защитой. Примеры и практика. Типовые сценарииКРОК
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...elenae00
 
Режим коммерческой тайны в компании
Режим коммерческой тайны в компанииРежим коммерческой тайны в компании
Режим коммерческой тайны в компанииМарина Уменко
 
Михаил Емельянников. Можно ли защитить секреты в российском суде
Михаил Емельянников. Можно ли защитить секреты в российском судеМихаил Емельянников. Можно ли защитить секреты в российском суде
Михаил Емельянников. Можно ли защитить секреты в российском судеPositive Hack Days
 
емельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в судеемельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в судеPositive Hack Days
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты DlpMFISoft
 
White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореМФИ Софт
 
White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореМФИ Софт
 
РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...
РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...
РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...Expolink
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Ontico
 
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...Алексей Гололоб
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
Безопасность и слежка за сотрудниками: как не перегнуть
Безопасность и слежка за сотрудниками: как не перегнутьБезопасность и слежка за сотрудниками: как не перегнуть
Безопасность и слежка за сотрудниками: как не перегнутьJuscutum
 
Infowatch, держи марку!
Infowatch, держи марку!Infowatch, держи марку!
Infowatch, держи марку!Компания УЦСБ
 
Практика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информацииПрактика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информацииИгорь Агурьянов
 
Михаил Емельянников - Правомерность мониторинга за персоналом
Михаил Емельянников - Правомерность мониторинга за персоналомМихаил Емельянников - Правомерность мониторинга за персоналом
Михаил Емельянников - Правомерность мониторинга за персоналомExpolink
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхValery Bychkov
 

Mais conteúdo relacionado

Semelhante a Конфиденциальность корпоративных данных

Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...elenae00
 
Режим коммерческой тайны в компании
Режим коммерческой тайны в компанииРежим коммерческой тайны в компании
Режим коммерческой тайны в компанииМарина Уменко
 
Михаил Емельянников. Можно ли защитить секреты в российском суде
Михаил Емельянников. Можно ли защитить секреты в российском судеМихаил Емельянников. Можно ли защитить секреты в российском суде
Михаил Емельянников. Можно ли защитить секреты в российском судеPositive Hack Days
 
емельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в судеемельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в судеPositive Hack Days
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты DlpMFISoft
 
White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореМФИ Софт
 
White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореМФИ Софт
 
РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...
РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...
РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...Expolink
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Ontico
 
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...Алексей Гололоб
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
Безопасность и слежка за сотрудниками: как не перегнуть
Безопасность и слежка за сотрудниками: как не перегнутьБезопасность и слежка за сотрудниками: как не перегнуть
Безопасность и слежка за сотрудниками: как не перегнутьJuscutum
 
Практика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информацииПрактика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информацииИгорь Агурьянов
 
Михаил Емельянников - Правомерность мониторинга за персоналом
Михаил Емельянников - Правомерность мониторинга за персоналомМихаил Емельянников - Правомерность мониторинга за персоналом
Михаил Емельянников - Правомерность мониторинга за персоналомExpolink
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхValery Bychkov
 

Semelhante a Конфиденциальность корпоративных данных (20)

Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
Монетизация Клиентской базы интернет магазина. Дьявол прячется в мелочах. Иль...
 
Режим коммерческой тайны в компании
Режим коммерческой тайны в компанииРежим коммерческой тайны в компании
Режим коммерческой тайны в компании
 
Михаил Емельянников. Можно ли защитить секреты в российском суде
Михаил Емельянников. Можно ли защитить секреты в российском судеМихаил Емельянников. Можно ли защитить секреты в российском суде
Михаил Емельянников. Можно ли защитить секреты в российском суде
 
емельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в судеемельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в суде
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты Dlp
 
White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом секторе
 
White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом секторе
 
РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...
РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...
РЭАЦ "Эксперт". Николай Мисник. "Практика применения организационно-правовых ...
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
 
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...
 
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
Voprosy zaschity konfidentsialnoy_informatsii_aktualny_dlya_kazhdogo_sovremen...
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLP
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут перемены
 
Безопасность и слежка за сотрудниками: как не перегнуть
Безопасность и слежка за сотрудниками: как не перегнутьБезопасность и слежка за сотрудниками: как не перегнуть
Безопасность и слежка за сотрудниками: как не перегнуть
 
Infowatch, держи марку!
Infowatch, держи марку!Infowatch, держи марку!
Infowatch, держи марку!
 
Практика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информацииПрактика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информации
 
Михаил Емельянников - Правомерность мониторинга за персоналом
Михаил Емельянников - Правомерность мониторинга за персоналомМихаил Емельянников - Правомерность мониторинга за персоналом
Михаил Емельянников - Правомерность мониторинга за персоналом
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данных
 

Конфиденциальность корпоративных данных

  • 1. Конфиденциальность корпоративных данных Наталья Лосева Менеджер проектов Acsour 2014 на примере данных о заработной плате
  • 2. 2 Понятие конфиденциальной информации Разглашение конфиденциальной информации Конфиденциальность данных о заработной плате Меры обеспечения конфиденциальности информации при расчете заработной платы Содержание
  • 4. Конфиденциальность информации (149-ФЗ «Об информации…») – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. 4 Определение
  • 5. 1. Коммерческая выгода от информации для организации; 2. Недоступность в открытых источниках; 3. Соблюдение прав/интересов других субъектов; 4. Законность обладания информацией; 5. Применение работодателем специальных мер защиты. 5 Критерии конфиденциальности
  • 7. В большинстве стран нет единого нормативного акта, определяющего понятие конфиденциальной информации или коммерческой тайны. США: • есть закон о коммерческой тайне (1979); • соглашение о сохранении коммерческой тайны при приеме; • специальная разъяснительная работа с сотрудником; • сотрудник может подписать заявление о том, что он не вправе раскрывать секреты, полученные по предыдущему месту работы; Япония: • нет законов либо актов, предусматривающих ответственность за разглашение коммерческой тайны; • департаменты кадров контролируют неукоснительное соблюдение режима секретности сотрудниками; • сказывается действие концепции «пожизненного найма» и лояльности сотрудников компании. 7 Зарубежная практика
  • 8. Разглашение информации - ситуация, когда информация становится известна третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. (На основании №98-ФЗ О коммерческой тайне, ст. 3, п 9) Неправомерный доступ – самовольное получение информации и ее использование лицом, не имеющим права ею владеть. ТК РФ устанавливает ответственность только за РАЗГЛАШЕНИЕ конфиденциальной информации, но не устанавливает ответственности за неправомерный ДОСТУП. 8 Определение Разглашение информации Неправомерный доступ
  • 9. 9 Каналы утечки информации Человеческий фактор, ошибки Намеренный ущерб, воровство Технические сбои электронных систем Недостатки контроля доступа к конфиденциальной информации Причины: Каналы утечки: Подготовленона основанииисточника:Исследование компанииInfoWatch,2013 Потеря мобильных устройств Кража/ потеря оборудования Съемные носители Сеть (браузер, Cloud) Электронная почта Бумажные документы IM (текст, голос, видео) Не определено
  • 10. 10 Неосведомленность сотрудников Каждый 2-ой не знаком с правилами информационной безопасности 1/3 самовольно использует системы хранения файлов (Dropbox, Google Docs) 1/4 не блокирует компьютер, покидая рабочее место Каждый 2-ой пересылает рабочие документы с рабочего ящика на личный 4 из 5-ти не уничтожают носители с корпоративной информацией 1/3 хранит пароли в легкодоступных местах или использует один и тот же пароль Конфиденциальная информация Каждый 2ой уволенный выносил конфиденциальные данные и использовал их на новой работе
  • 12. Несмотря на то, что: • в законодательстве РФ нет прямого указания, что организации обязаны относить информацию об оплате труда своих сотрудников к конфиденциальной, и • в российском праве отсутствует четкое определение понятия конфиденциальной информации, …на большинстве предприятий информация о заработной плате сотрудников конфиденциальна. 12 Конфиденциальность данных о заработной плате
  • 13. 1. Во многих компаниях сотрудники на одинаковых позициях или позициях одного уровня получают разную оплату труда. 2. Во многих компаниях существует заметный разрыв между оплатой труда высшего менеджмента и ключевых сотрудников и оплатой труда остального персонала. 13 Основания для конфиденциальности 2,9 Скандинавия 3,5 США 12,5 Россия 14,2 Бразилия, Китай, Индия Личный фактор Новые сотрудники Ситуация на рынке Слияния, поглощения Подготовленона основанииисточника:по данным компании HayGroup
  • 14. ПОГЛОЩЕНИЕ Российское производство (FMCG) Международная компания: ПРОБЛЕМЫ Более высокие требования к обеспечению конфиденциальности информации. Новая команда топ-менеджеров – 50 чел. Различия корпоративной культуры. Возросшая социальная напряженность в коллективе. Аутсорсинг расчета заработной платы топ-менеджеров – 50 чел.; + Внутренний расчет остальных сотрудников – 3000 чел. 14 Пример: поглощение компании Преимущества данного решения: • Сохранение конфиденциальности уровня доходов новой команды менеджеров; • Минимальные затраты по сравнению с переводом на аутсорсинг полного расчет ЗП; • Снятие социальной напряженности в коллективе и сохранение занятости сотрудников отдела ЗП. Решение при поглощении компании более 3000 сотрудников 5 чел. более 50 лет
  • 16. 16 Задачи 1. 2. 3. 4. Документы: • Снизить количество конфиденциальн ых документов Процессы: • Организовать хранение и движение информации и документов Люди: • Ограничить круг лиц, имеющих доступ к информации Ответственность: • Повысить уровень ответственности
  • 18. 18 1. Четкий перечень конфиденциальной информации; 2. Внутренние политики; 3. Перечень КИ в трудовых договорах. 4. Источники конфиденциальной информации по ключевым сотрудникам (носители): • Кадровые документы (ТД, приказы, б/л) • Информация о З/П и начислениях в системе • Индивидуальные расчетные листки • Платежная ведомость в банк • Формы индивидуальных сведений для ПФ • Формы 2-НДФЛ для сдачи в налоговую • Внутренняя и управленческая отчетность Конфиденциальное делопроизводство 1. Документы
  • 19. 19 1. Организация рабочих мест и рабочего пространства; 2. Места и правила хранения информации и документов (электронные в системе, сканы, оригиналы, копии и др.); 3. Средства информационной и электронной безопасности (решения DLP – Data Loss Protection); 4. Регламент и контроль движения документов и информации; 5. Реестр работников, имеющих доступ к КИ и документам; 6. Соглашения о конфиденциальности; 7. Мотивация работников, владеющих КИ. Организация процессов 2. Процессы
  • 20. 20 Ограничение круга лиц доступ есть доступ возможен Главный бухгалтер Сотрудники бухгалтерии Директор по персоналу Сотрудники HR службы Ключевые сотрудники Руководство Остальные сотрудники Открытая информация Информация по остальным сотрудникам Информация по ключевым сотрудникам 3. Люди
  • 21. 21 Ограничение круга лиц при аутсорсинге доступ есть доступ возможен Главный бухгалтер Сотрудники бухгалтерии Директор по персоналу Сотрудники HR службы Ключевые сотрудники Руководство Остальные сотрудники Открытая информация Информация по остальным сотрудникам Информация по ключевым сотрудникам Аутсорсинг - ограничение круга лиц в компании, кто может получить доступ к конфиденциальной информации 3. Люди
  • 22. За нарушение действующего законодательства РФ о коммерческой тайне предусмотрена дисциплинарная, административная, гражданско-правовая и уголовная ответственность. Возможность привлечь сотрудников за разглашение коммерческой тайны к ответственности (по ТК РФ): 1. Официально установленный режим коммерческой тайны 2. Установление грифа «Коммерческая тайна» на документе 3. Учет лиц, имеющих доступ к информации, составляющей коммерческую тайну 4. Доказательство ознакомления сотрудника с режимом коммерческой тайны 5. Доказательства факта разглашения коммерческой тайны третьим лицам 6. Запрос и получение объяснений от сотрудника 22 Ответственность 4. Ответственность
  • 23. 1. Ответственность и соглашение о неразглашении (как часть SLA) на уровне юридического лица, в рамках ГК РФ 2. Ответственность и соглашение о неразглашении на уровне сотрудников Провайдера 3. Ограничение допуска сотрудников Провайдера к информации Клиента • только команда обслуживания • только для выполнения конкретных задач • только на период участия в оказании услуг 4. Согласование списка и полномочий участников при обмене информацией 23 Ответственность при аутсорсинге 4. Ответственность
  • 24. Аутсорсинг расчета заработной платы ключевых сотрудников позволяет: – Снизить риск разглашения конфиденциальной информации о доходах – Уменьшить объем документов с конфиденциальной информацией – Сократить круг лиц, имеющих доступ – Повысить надежность средств информационной защиты передачи данных – Обеспечить непрерывность процесса расчета и снизить влияние болезней, отпусков сотрудников бухгалтерии и пр. – Снизить нагрузку на отделы расчета З/П и кадровые отделы – Во многом снизить риски, связанные с трудовыми спорами, спорами с налоговыми органами, трудовыми инспекциями и проч. 24 Конфиденциальность при аутсорсинге
  • 25. Процесс расчета заработной платы ключевых сотрудников может быть организован таким образом, чтобы: • выстроить надежные системы контроля учетных процессов; • снизить риски, связанные с уходом ключевых сотрудников; • сократить издержки вследствие централизации либо аутсорсинга учетных функций; • повысить конфиденциальность данных. 25 Заключение