Что означает принцип экономичности защиты информации
Что означает принцип экономичности защиты информации
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)
5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
ТЕМА 1.3. ОСНОВЫ И МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Оглавление
1.3.1. Основные понятия
В современных информационных системах (ИС) информация обладает двумя противоречивыми свойствами – доступностью и защищенностью от несанкционированного доступа. Во многих случаях разработчики ИС сталкиваются с проблемой выбора приоритета одного из этих свойств.
Под защитой информации обычно понимается именно обеспечение ее защищенности от несанкционированного доступа. При этом под самим несанкционированным доступом принято понимать действия, которые повлекли «…уничтожение, блокирование, модификацию, либо копирование информации…»(УК РФ ст.272). Все методы и средства защиты информации можно условно разбить на две большие группы: формальные и неформальные.
Рис. 1. Классификация методов и средств защиты информации
Формальные методы и средства
Это такие средства, которые выполняют свои защитные функции строго формально, то есть по заранее предусмотренной процедуре и без непосредственного участия человека.
Техническими средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.
Физическими средствами защиты называются физические и электронные устройства, элементы конструкций зданий, средства пожаротушения, и целый ряд других средств. Они обеспечивают выполнение следующих задач:
Криптографические методы и средства
Криптографическими методами и средствами называются специальные преобразования информации, в результате которых изменяется ее представление.
В соответствии с выполняемыми функциями криптографические методы и средства можно разделить на следующие группы:
Неформальные методы и средства защиты информации
Неформальные средства – такие, которые реализуются в результате целенаправленной деятельности людей, либо регламентируют ( непосредственно или косвенно) эту деятельность.
К неформальным средствам относятся:
Организационные средства
Это организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. По своему содержанию все множество организационных мероприятий условно можно разделить на следующие группы:
Законодательные средства
Это законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного использования и устанавливаются меры ответственности за нарушение этих правил. Можно сформулировать пять ”основных принципов”, которые лежат в основе системы законов о защите информации:
Морально – этические нормы
Эти нормы могут быть как не писанными (общепринятые нормы честности, патриотизма и т.п.) так и писанными, т.е. оформленными в некоторый свод правил и предписаний (устав).
С другой стороны, все методы и средства защиты информации можно разделить на две большие группы по типу защищаемого объекта. В первом случае объектом является носитель информации, и здесь используются все неформальные, технические и физические методы и средства защиты информации. Во втором случае речь идет о самой информации, и для ее защиты используются криптографические методы.
1.3.2. Угрозы безопасности информации и их источники
Наиболее опасными (значимыми) угрозами безопасности информации являются:
Приведем ниже краткую классификацию возможных каналов утечки информации в ИС – способов организации несанкционированного доступа к информации.
Косвенные каналы, позволяющие осуществлять несанкционированный доступ к информации без физического доступа к компонентам ИС:
Каналы, связанные с доступом к элементам ИС, но не требующие изменения компонентов системы, а именно:
Каналы, связанные с доступом к элементам ИС и с изменением структуры ее компонентов :
1.3.3. Ограничение доступа к информации
В общем случае система защиты информации от несанкционированного доступа состоит из трех основных процессов:
При этом участниками этих процессов принято считать субъекты – активные компоненты (пользователи или программы) и объекты – пассивные компоненты (файлы, базы данных и т.п.).
Задачей систем идентификации, аутентификации и авторизации является определение, верификация и назначение набора полномочий субъекта при доступе к информационной системе.
Идентификацией субъекта при доступе к ИС называется процесс сопоставления его с некоторой, хранимой системой в некотором объекте, характеристикой субъекта – идентификатором. В дальнейшем идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий при пользовании информационной системой.
Аутентификацией субъекта называется процедура верификации принадлежности идентификатора субъекту. Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и информационная система. Обычно в некотором объекте в информационной системе, называемом базой учетных записей, хранится не сам секретный элемент, а некоторая информация о нем, на основании которой принимается решение об адекватности субъекта идентификатору.
Авторизацией субъекта называется процедура наделения его правами соответствующими его полномочиям. Авторизация осуществляется лишь после того, как субъект успешно прошел идентификацию и аутентификацию.
Весь процесс идентификации и аутентификации можно схематично представить следующим образом:
Рис. 2. Схема процесса идентификации и аутентификации
1- запрос на разрешение доступа к ИС;
2- требование пройти идентификацию и аутентификацию;
3- отсылка идентификатора;
4- проверка наличия полученного идентификатора в базе учетных записей;
5- запрос аутентификатора;
6- отсылка аутентификаторов;
7- проверка соответствия полученного аутентификатора указанному ранее идентификатору по базе учетных записей.
Из приведенной схемы (рис.2) видно, что для преодоления системы защиты от несанкционированного доступа можно либо изменить работу субъекта, осуществляющего реализацию процесса идентификации/аутентификации, либо изменить содержимое объекта – базы учетных записей. Кроме того, необходимо различать локальную и удаленную аутентификацию.
При локальной аутентификации можно считать, что процессы 1,2,3,5,6 проходят в защищенной зоне, то есть атакующий не имеет возможности прослушивать или изменять передаваемую информацию. В случае же удаленной аутентификации приходится считаться с тем, что атакующий может принимать как пассивное, так и активное участие в процессе пересылки идентификационной /аутентификационной информации. Соответственно в таких системах используются специальные протоколы, позволяющие субъекту доказать знание конфиденциальной информации не разглашая ее (например, протокол аутентификации без разглашения).
Общую схему защиты информации в ИС можно представить следующим образом (рис.3):
Рис. 3. Съема защиты информации в информационной системе
Таким образом, всю систему защиты информации в ИС можно разбить на три уровня. Даже если злоумышленнику удастся обойти систему защиты от несанкционированного доступа, он столкнется с проблемой поиска необходимой ему информации в ИС.
Семантическая защита предполагает сокрытие места нахождения информации. Для этих целей может быть использован, например, специальный формат записи на носитель или стеганографические методы, то есть сокрытие конфиденциальной информации в файлах-контейнерах не несущих какой-либо значимой информации.
В настоящее время стеганографические методы защиты информации получили широкое распространение в двух наиболее актуальных направлениях:
Последним препятствием на пути злоумышленника к конфиденциальной информации является ее криптографическое преобразование. Такое преобразование принято называть шифрацией. Краткая классификация систем шифрования приведена ниже (рис.4):
Рис. 4. Классификация систем шифрования
Основными характеристиками любой системы шифрования являются:
В настоящее время принято считать, что алгоритм шифрации/дешифрации открыт и общеизвестен. Таким образом, неизвестным является только ключ, обладателем которого является легальный пользователь. Во многих случаях именно ключ является самым уязвимым компонентом системы защиты информации от несанкционированного доступа.
Из десяти законов безопасности Microsoft два посвящены паролям:
Закон 5: «Слабый пароль нарушит самую строгую защиту»,
Закон 7: «Шифрованные данные защищены ровно настолько, насколько безопасен ключ дешифрации».
Именно поэтому выбору, хранению и смене ключа в системах защиты информации придают особо важное значение. Ключ может выбираться пользователем самостоятельно или навязываться системой. Кроме того, принято различать три основные формы ключевого материала:
Пароль – секретная информация, запоминаемая пользователем и таким образом неразрывно с ним связанная,
Ключ – секретная информация, хранящаяся на некотором носителе, которой могут воспользоваться без ведома пользователя,
Биометрия – биометрическая информация (отпечаток пальца, сетчатка глаза, голос и т.п.)
1.3.4. Технические средства защиты информации
В общем случае защита информации техническими средствами обеспечивается в следующих вариантах:
источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей его технических средств
Эти варианты реализуют следующие методы защиты:
Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве. К таким носителям относятся бумага, машинные носители, фото- и кинопленка, продукция, материалы и т.д., то есть всё, что имеет четкие размеры и вес. Для организации защиты таких объектов обычно используются такие технические средства защиты как охранная и пожарная сигнализация.
Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ и для защиты такой информации могут быть использованы методы скрытия информации. Эти методы предусматривают такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.
1.3.5. Программные средства защиты информации
Эти средства защиты предназначены специально для защиты компьютерной информации и построены на использовании криптографических методов. Наиболее распространенными программными средствами являются:
1.3.6. Антивирусные средства защиты информации
В общем случае следует говорить о «вредоносных программах», именно так они определяются в руководящих документах ГосТехКомиссии и в имеющихся законодательных актах(например, статья 273 УКРФ «Создание, использование и распространение вредоносных программ для ЭВМ»). Все вредоносные программы можно разделить на пять типов:
В настоящее время вредоносные программ в «чистом» виде практически не существуют – все они являются некоторым симбиозом перечисленных выше типов. То есть, например: троян может содержать вирус и в свою очередь вирус может обладать свойствами логической бомбы. По статистике ежедневно появляется около 200 новых вредоносных программ, причем «лидерство» принадлежит червям, что вполне естественно, вследствие быстрого роста числа активных пользователей сети Интернет.
В качестве защиты от вредоносных программ рекомендуется использовать пакеты антивирусных программ ( например: DrWeb, AVP – отечественные разработки, или зарубежные, такие как NAV, TrendMicro, Panda и т.д.). Основным методом диагностики всех имеющихся антивирусных систем является «сигнатурный анализ», то есть попытка проверить получаемую новую информацию на наличие в ней «сигнатуры» вредоносной программы – характерного куска программного кода. К сожалению, такой подход имеет два существенных недостатка:
Закон 8: «Не обновляемая антивирусная программа не намного лучше полного отсутствия такой программы»
Одним из известных путей повышения эффективности диагностирования вредоносных программ является использование так называемого «эвристического метода». В этом случае предпринимается попытка обнаружить наличие вредоносных программ, учитывая известные методы их создания. Однако, к сожалению, в случае если в разработке программы принимал участие высококлассный специалист, обнаружить ее удается лишь после проявления ею своих деструктивных свойств.
Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля
Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.
1. Заручиться поддержкой руководства.
Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.
Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».
Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.
Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.
На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».
2. Определить состав рабочей группы.
Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.
Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.
3. Определить риски.
После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:
После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.
После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.
4. Принять организационные меры.
На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.
5. Выбрать и внедрить меры и средства защиты информации.
На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.
При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.
6. Довести информацию до заинтересованных лиц.
Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.
7. Провести мониторинг и оценку.
После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.
Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.
Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Как защитить информацию внутри компании: на бумаге или в электронных документах
Сотрудница одной компании отправляла секретные документы, и ей за это ничего не было. А в другой компании за похожее нарушение сотрудники получили по 2 года условно.
Виктория Краснова
Юрист по интеллектуальной собственности
Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.
Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.
Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.
Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.
Выберите информацию, которую стоит защитить
Компании хотят защитить информацию, которая помогает им зарабатывать.
Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.
В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.
Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.
Есть перечень сведений, которые нельзя скрывать:
В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:
| Можно | Нельзя |
|---|---|
| — Список клиентов и поставщиков |
— Способы и принципы ценообразования
— Маркетинговые исследования и рекламные кампании
— Технологические сведения о продукции
— Особенности производственных процессов
— Информация о методах управления и внутренней организации предприятия
— Деловая переписка
— Состав и квалификация персонала
— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое
— Задолженность по зарплате
— Список лиц, которые могут представлять организацию без доверенности
— Номер лицензии на осуществление деятельности
Защитите секретную информацию от сотрудников и сторонних партнеров
Чтобы защитить секретные данные, компании нужно пройти четыре шага:
Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.
Чтобы ввести режим коммерческой тайны, компании нужно:
Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.
Подробнее об этом расскажем в следующих статьях.
Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату
Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.
В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.
Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.
Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.
Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.
Компания не заключила договор с сотрудником и потеряла разработанный продукт
Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.
«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.
Защитить интеллектуальную собственность компании. Вы можете защитить:
Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.
Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.
Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.
Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.
Режим конфиденциальности может сработать и в более мирных условиях.
Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки.
Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.
Без коммерческой тайны ввести режим конфиденциальности нельзя.
Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽
По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.
Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.
Когда секретная информация защищена сама по себе
Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:
Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.
Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.
Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.
Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.
Наказать за раскрытие коммерческой тайны
Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:
| Ответственность | Наказание | Основание |
|---|---|---|
| Дисциплинарная | В зависимости от вины, по решению руководителя компании: |
—замечание
Закон не запрещает применять материальное и дисциплинарное наказание за одно и то же нарушение
Штраф для должностных лиц — от 4000 до 5000 ₽
В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.
Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно
Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.
Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.
В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.
Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.
ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф
ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.
Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.
Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.
Главное
Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.
Для защиты ценной информации:
За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.
Подписка на новое в
Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.
Сейчас читают
Как оформить чек коррекции
Чек коррекции поможет избежать штрафа в случае ошибочной операции или если забыли выбить чек по кассе в момент продажи или возврата
Главные изменения в законах 2021 года: как они повлияли на бизнес
Собрали обзор важных законов для малого и среднего бизнеса, которые вступили в силу в 2021 году
Необоснованная налоговая выгода: что это такое и как бизнесу избежать штрафов и доначисления налогов
Если ФНС выявит необоснованную налоговую выгоду, бизнесу могут доначислить налоги и назначить штраф. Разбираем, как экономить на налогах без негативных последствий
Будьте в курсе событий бизнеса
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей, которые помогут сделать бизнес сильнее
© 2006—2021, АО «Тинькофф Банк», Лицензия ЦБ РФ № 2673 — Команда проекта
Тинькофф Бизнес защищает персональные данные пользователей и обрабатывает Cookies только для персонализации сервисов. Запретить обработку Cookies можно в настройках Вашего браузера. Пожалуйста, ознакомьтесь с Условиями обработки персональных данных и Cookies.
Чтобы скачать чек-лист,
подпишитесь на рассылку о бизнесе
После подписки вам откроется страница для скачивания