Что относится к объектам безопасности предприятия
Внутренняя безопасность предприятия
Защита данных
на базе системы
П очти каждое предприятие имеет службу безопасности, но мало кто понимает, какие задачи перед ней необходимо ставить. Выработанная стратегия защиты и работа на опережение помогают более эффективно отражать внешние и внутренние угрозы.
Угрозы
Задачи, которые ставятся руководством компании в сфере безопасности, связываются с объектами защиты, а не с общим пониманием рисков, характерных для поверхностного подхода к разработке стратегии. При этом любые новые организационные меры, направленные на повышение уровня защиты, встречают неприятие сотрудников и менеджмента, рассматривающих их как ненужные ограничения и помехи в течении бизнес-процессов.
Крупные компании давно выстроили комплексную систему безопасности на всех уровнях – от информационного до экономического.
Небольшие ограничиваются минимумом усилий, неся при этом существенные убытки. Общая система рисков выглядит так:
1. Риски бизнеса. Это угроза репутации, черный пиар с точки зрения внешних взаимодействий или инвестиции, новые разработки, которые могут быть неуспешными с точки зрения внутренних задач.
2. Информационные риски. Это утечки информации, угроза ее целостности, подмена, затрудненный доступ к данным, сервисам и приложениям.
3. Риски персонала. Это текучка кадров, переманивание ценных сотрудников конкурентами, задача по охране труда, снижению травматизма и заболеваемости на рабочих местах с тяжелыми и вредными условиями труда.
4. Инфраструктурные риски. Это поломка или выход из строя оборудования, аварии, проблемы на опасных производственных объектах, загрязнение природной среды выбросами предприятия.
5. Финансовые риски. Это кражи, ущерб, убытки, штрафы, проигрыши в судах.
С этими проблемами сталкивается каждая компания. Опираясь на их понимание, вырабатывается схема компонентов корпоративной безопасности:
Очевидно, что со всеми этими задачами не может справиться исключительно СБ.
Как выстроить систему корпоративной безопасности
Помимо службы безопасности, комплексные задачи защиты предприятия от внутренних и внешних угроз решает высший и средний менеджмент, финансовая дирекция, служба внутреннего контроля, КРУ, юридическое подразделение, службы персонала и ИТ. Возникает необходимость выстраивания их эффективного взаимодействия.
Требуется выработать механизм борьбы с угрозами, состоящий из этапов:
1. Обнаружение. Сотрудники предприятия должны выработать механизм обнаружения угрозы таким образом, чтобы не возникло ложных срабатываний. Так, для ИТ-специалиста решением задачи станет настройка системы мониторинга ИТ-инфраструктуры, оповещающая о вторжениях, для внутреннего аудита – отклонение в результатах финансово-хозяйственной деятельности, отличающееся от обычных значений сезонных или иных колебаний. Например, когда пик продаж сельхозтоплива приходится не на начало посевной кампании, а на ее середину, возникает ситуация, в которой отклонение выглядит неестественным.
2. Анализ. Сотрудник должен предвидеть возможность угрозы, оценивать масштаб, находить источники и меры реагирования своими силами или с привлечением причастных подразделений.
3. Противостояние. Для каждого типа угроз должна быть разработана собственная политика или инструкция, позволяющая быстро принять меры самостоятельно, выбрать подходящее из дерева решений.
4. Регламентация. Все этапы работы с угрозами внутренней безопасности предприятия должны быть регламентированы в четких инструкциях, принятых на уровне руководства компании.
Все эти задачи не должны становиться самоцелью. Выявление угроз и реакция на них не могут быть основными задачами подразделений, чья деятельность связана с иными бизнес-процессами.
Основные проблемы
При выстраивании системы внутренней безопасности необходимо понимать сложности, мешающие сделать ее эффективной:
Невозможно найти эффективное решение в каждой ситуации, все зависит от типа угроз и руководства, на чьи плечи ложится груз принятия решения.
Задачи СБ и принципы ее работы
Тип предприятия определяет функции службы безопасности, созданной из профессионалов, ранее работавших в этой сфере, но основные ее задачи не изменяются в зависимости от структуры организации:
Решение этих задач основывается на следовании общим принципам работы с рисками подразделений, не только решающих проблемы безопасности, но и занятых исключительно вопросами бизнеса. Необходимо:
Профессиональная работа с рисками, построенная на единой стратегии, системности, использовании современных программных средств, поможет защитить компанию от большинства из них и увеличить ее конкурентоспособность.
Информационная безопасность предприятий
Защита данных
на базе системы
З адача выстраивания системы информационной безопасности предприятий носит комплексный характер. Руководство должно оценить уровень предполагаемых рисков и выработать модель угроз. Она будет различной для каждого вида бизнеса. Общим будет то, что для причинения ущерба компании используются информационные технологии. Для обеспечения информационной безопасности нужно проведение аудита, по результатам которого вырабатывается комплекс необходимых организационных и программно-технических мер.
Угрозы информационной безопасности
Хакерские атаки рассматриваются на международном уровне как часть единой глобальной угрозы, связанной с цифровизацией общества. От внешних нападений не избавлены даже небольшие компании, особенно если они являются поставщиками или подрядчиками крупных корпораций и оперируют в своей деятельности данными, способными заинтересовать злоумышленников. Но и интернет магазины или небольшие поставщики интернет-услуг не избавлены от DDoS-атак, способных полностью заблокировать каналы связи и сделать сервис недоступным для клиентов.
Среди актуальных внешних угроз информационной безопасности:
Общий список угроз остается неизменным, а технические средства их реализации совершенствуются постоянно. Уязвимости в штатных компонентах информационных систем (ОС, протоколах связи) не всегда ликвидируются быстро. Так, проблемы Windows XP были устранены путем выпуска обновлений только через два года после их фиксации. Хакеры не теряют времени, оперативно реагируя на все обновления, постоянно тестируя степень безопасности информационных систем предприятия при помощи средств мониторинга. Особенностью современной ситуации на рынке компьютерной безопасности стало то, что машинные технологии усовершенствовались до того уровня, что пользование ими стало доступным даже школьнику. Заплатив небольшую сумму, иногда не превышающую 10 долларов, за подписку на сервис тестирования уязвимости, можно организовать DDoS-атаку на любой сайт, размещенный на небольшом сервере с не очень производительным каналом связи, и в считанные минуты лишить клиентов доступа к нему. В качестве ботнетов все чаще используются объекты Интернета вещей: холодильники, кофеварки и IP-камеры. Они активно включаются в информационные атаки, так как производители управляющего ими программного обеспечения в целях экономии средств не встроили в них механизм защиты от перехвата управления.
Но не менее опасны и угрозы информационной безопасности, исходящие от сотрудников компании, заинтересованных не в краже, а в манипуляции информацией. Отдельным риском становится такое нарушение целостности информации в базах данных, которое облегчает хищение материальных ресурсов организации. Примером может служить изменение температуры хранения топлива в сторону повышения, при котором его объем в цистернах увеличивается и небольшую откачку датчики безопасности не заметят. Для такого изменения нужно иметь несанкционированный доступ к каналам связи с устройствами, управляющими выставлением температуры на складе.
Обеспечение информационной безопасности предприятий
Задача обеспечения информационной безопасности предприятий решается своими силами или с привлечением внешних экспертов. Необходимо провести аудит и внедрить систему организационных и технических мер общего и специального характера, которые позволят эффективно обеспечить высокое качество информационной безопасности предприятия. Начинать создание системы надо с аудита. Система защиты будет основываться на его результатах.
Аудит
Объем аудита зависит от размеров компании и ценности обрабатываемой информации. Для предприятий малого и среднего бизнеса аудит может проводиться своими силами, для распределенной сложной системы, включающей несколько контуров управления, в которой обрабатываются конфиденциальные данные высокой важности, необходимо привлекать для проведения аудита профессиональные организации, специализирующиеся на аутсорсинге информационных услуг.
На базовом уровне аудита необходимо выяснить:
Для небольшой компании ответы на эти вопросы помогут выявить наиболее очевидные уязвимости системы информационной безопасности предприятия и направить усилия на их устранение.
Существуют ситуации, когда угрозы оказываются более существенными, чем действия инсайдеров или случайные и непредсказуемые хакерские атаки, например, когда компания:
В этих случаях простой аудит доступа и специфики программного обеспечения окажется средством, не решающим проблему. ИС нужно исследовать на более глубоком уровне, выявив:
Если компания является оператором персональных данных, в ходе аудита дополнительно надо выявить:
Ответ на вопросы аудита даст почву для разработки системы информационной безопасности предприятия с учетом релевантных угроз.
Этапы внедрения системы безопасности
Понимание текущего состояния информационной системы и категории информационных ресурсов дает почву для разработки стратегии ее модернизации и приближения к современным требованиям безопасности.
Работу необходимо проводить по следующему алгоритму:
Большинство этапов работы может быть выполнено силами собственного персонала, на особо сложные участки работы привлекаются консультанты. Весь процесс должен идти под руководством менеджера высшего звена, заинтересованного в успешной реализации проекта внедрения стратегии обеспечения информационной безопасности предприятия.
Организационные меры
Применяемые для обеспечения информационной безопасности предприятия организационные меры делятся на три группы:
В каждой категории они делятся на две группы – документы и действия, и в каждом секторе защиты необходимы обе группы мер.
Организационные меры общего характера
Информационная безопасность предприятия начинается с принятия единой политики или методики обеспечения защиты данных. Политика должна содержать следующие разделы:
Документ принимается на уровне высшего руководства и сопровождается политиками и методиками, определяющими более узкие задачи информационной безопасности на предприятии.
Режим коммерческой тайны
Гражданское законодательство РФ вводит понятие коммерческой тайны как информационного актива, охраняемого государством. Ее преднамеренное или непреднамеренное разглашение, причинившее ущерб компании, является основанием для предъявления гражданского иска о возмещении ущерба. Если ущерб действительно серьезен, дело может дойти до уголовного преследования. Но чтобы привлечь виновного сотрудника к ответственности, придется совершить несколько шагов, относящихся к организационной части системы информационной безопасности на предприятии:
Выполнение этих действий поможет в должной мере защитить конфиденциальность данных.
Технические меры
Внедрение программно-технических средств защиты информации неизбежно, многие организации пользуются ими, не подозревая об этом. Для того чтобы выбрать наиболее эффективные для конкретной организации типы защиты, необходимо ответить на следующие вопросы:
Далее начинается этап выбора программного обеспечения, которое призвано создать систему информационной безопасности предприятия на эффективном уровне:
Одним из основных рисков для информационной безопасности предприятия становится отказ от своевременного обновления программного обеспечения. Причин может быть несколько:
Но несвоевременное обновление программ создает лазейки для хакеров, которые могут привести к утечкам информации. Если существуют такие риски, рекомендуется применять сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи или обновления не установлены для Windows и какие изменения в конфигурации надо выполнить для обеспечения безопасности.
При проверке подключения устройств необходимо использовать следующие методы:
Выполнение простых рекомендаций позволит создать информационную безопасность предприятия на уровне, обеспечивающем гарантированную систему защиты и отсутствие инцидентов.
Построение корпоративной безопасности: как определить угрозы и обеспечить комплексную защиту бизнеса
В 2021 году охранная система каждого более или менее крупного бизнеса должна быть не только физической, ведь сегодня угрозы корпоративной безопасности могут принимать практически любой, даже самый простецкий вид. Повсеместная глобализация принесла огромное количество преимуществ, но с повальным развитием технологий у предпринимателей появилось множество проблем, касающихся защиты информации. Человек, сумевший добраться до сведений о своих конкурентах, получает мощный перевес для работы на рынке, тем самым превращаясь в настоящего монополиста. Именно поэтому абсолютно каждой организации следует надежно хранить свои данные, предваряя все попытки несанкционированного вторжения.
Что значит комплексная безопасность компании
Нетрудно догадаться, что в современных реалиях вопросы, связанные с охраной тех или иных особо важных данных, выдвигаются перед каждым предприятием, вне зависимости от вида осуществляемой деятельности, организационно-правовой формы и места, занимаемого в отрасли. Всевозможные утечки, связанные, например, с документацией, способны нанести непоправимый ущерб интересам фирмы, в том числе и благодаря усилению позиций конкурентов. К счастью, в 2021 году владельцы разных типов бизнеса могут оперировать целыми перечнями различных средств и систем, не допускающих утечки важной информации.
Сегодня под термином о корпоративной безопасности подразумевается понятие о целом комплексе различных мероприятий, нацеленных на повсеместную протекцию экономических, технических и юридических выгод какой-либо организации. Причем абсолютно все меры внедряются в структуры корпорации пошагово, в соответствии с этапами изначально проработанного и продуманного плана. Выполнить все операции наскоком и рядом быстрых решений не получится: в современных реалиях высокие заборы и охранные посты не представляют собой особой проблемы для злоумышленников. Нынешние бизнесмены борются буквально за каждого клиента, и любая утечка способна решить исход рыночной коммерческой битвы.
Внешние и внутренние угрозы корпоративной безопасности компании
К числу самых популярных проблем, с которыми сталкиваются владельцы бизнеса, не позаботившиеся о должной протекции наличествующих сведений, относятся:
Что такое классы опасности производственных объектов
4,03 (Проголосовало: 59)
Опасные производственные объекты — это промышленные предприятия, которые в наибольшей степени подвержены риску серьезной аварии. Они разделяются на 4 класса потенциальной угрозы, от которых зависят правила их эксплуатации.
Что такое опасный промышленный объект
Эти группы включают в себя следующие типы производств:
Ряд предприятий, обладающих признаками опасного производства, к таковым не относится. В частности, к ним принадлежат горнодобывающие и перерабатывающие породу предприятия, которые проводят работы открытым способом без применения взрывов. Не признаются опасными электросетевые хозяйства и газоперерабатывающие предприятия, использующие оборудование, давление на котором не превышает 0,005 мегапаскалей.
Нормативная база
Основными нормативными документами, которые регулируют порядок присвоения классов опасности объектов, являются:
Численность опасных производств в России
В настоящий момент официальная информация об общем количестве производств в России и об их принадлежности к тому или иному классу опасности является закрытой. Единый государственный реестр опасных производственных объектов (ОПО), в котором обязательно регистрируются такие компании, тоже не размещается в открытом доступе. Единственным надежным источником информации о ситуации в этом сегменте остается Ростехнадзор, но он публикует только эпизодические данные в формате новостей без установленной регулярности. Так, по последней информации, поступившей от ведомства, по состоянию на конец 2017 года список производств, поднадзорных контролирующему ведомству, включает следующие позиции.
Ориентировочное количество в России
Производственные объекты государственного энергетического надзора
Более 2,2 миллионов
Опасные производственные предприятия
Производственные объекты государственного строительного надзора
Научные и исследовательские проектные организации
Исследовательские ядерные установки
Энергоблоки атомных станций
Количество опасных предприятий по регионам РФ (по данным Ростехнадзора)
Классификация опасных производств
Федеральный закон 116-ФЗ в части 3 статьи 2 указывает, сколько классов опасности производственных объектов выделяется законодательством. В общей сложности их выделяют 4, среди которых первый представляет собой группу с наиболее высоким уровнем угрозы, а четвертый — с наиболее низким. В свою очередь, как отмечается в данном разделе этого нормативно-правового акта, уровень опасности каждого конкретного предприятия определяется на основании степени вероятности возникновения аварии на производстве. Кроме этого, при определении класса опасности учитывается вероятное влияние такого негативного события на жизненно важные интересы отдельных граждан и общества в целом.
Обратите внимание! Конкретные критерии разделения всей совокупности видов промышленных производств на классы по уровню опасности приводятся в приложении 2 к ФЗ-116. Присвоение определенной категории осуществляется при регистрации в Едином государственном реестре.
I класс: чрезвычайно высокая опасность
II класс: высокая опасность
Также приложение № 2 к 116-ФЗ определяет, какие объекты экономики относятся к категории опасных производственных объектов 2 класса:
III класс: средняя опасность
Промышленные производства входят в III класс, если это:
IV класс: низкая опасность
К IV классу, характеризующемуся низкой опасностью, относятся категории производственных объектов, где осуществляется:
Как определить класс
Для предприятий, которые расположены в особых зонах, при отнесении ко II, III или IV классу опасности устанавливается более высокая категория. Это касается тех опасных производственных объектов, которые расположены:
Если конкретное предприятие по используемым критериям может относиться к разным категориям, определение опасного производственного объекта в части принадлежности к классу осуществляется по наиболее высокому, то есть опасному из них.
Кому необходимо присваивать класс
Потенциально каждое производство может оказаться опасным. Проводить оценку факторов, определяющих степень риска аварии на производстве и ее влияния на благополучие отдельных людей и общества в целом, придется для любого предприятия, имеющего признаки, перечисленные в приложении № 1 к 116-ФЗ. Каждому из них присваивается класс от I до IV.
На что влияет класс предприятия
Присвоенный класс влияет на правила эксплуатации. От этого параметра будут зависеть:
Как правило, наиболее строгие требования устанавливаются для производств, отнесенных к I и II категориям опасности.
Примеры присвоения класса
Присвоение конкретной категории осуществляется в соответствии с критериями, зафиксированными в приложении № 2 к 116-ФЗ. В зависимости от конкретных параметров предприятия его отнесут к разным классам опасности. Например, вот сколько категорий ОПО существует для производственных объектов, где ведутся горные работы:
Как присвоить класс
Эксплуатирующая его организация обязана сама оценить признаки возможного риска и определить класс опасности. По результатам такой работы оформляются подтверждающие документы, которые предоставляются в Ростехнадзор при регистрации объекта. Контролирующее ведомство проверяет выводы эксплуатирующей организации и вносит соответствующие сведения в Реестр ОПО. Также присвоение класса осуществляется в следующих случаях:
Заказать расчет стоимости
Обязанности эксплуатирующей организации
Эксплуатация опасного производства осуществляется специализированной организацией. В соответствии с частью 1 статьи 9 116-ФЗ она обязана:
Обязанности работников опасных промышленных объектов
Часть 2 статьи 9 116-ФЗ указывает, что работники ОПО обязаны:
Страхование объектов
В соответствии с требованиями действующего законодательства собственник ОПО обязан заключить договор страхования своей ответственности за причинение возможного вреда, который наступит в случае аварии на объекте. Это связано с тем, что риск такого события нельзя полностью исключить даже при соблюдении всех установленных требований. Поэтому в случае, если авария все-таки произойдет, страховка покроет возможные расходы. Порядок страхования для этой сферы деятельности и виды опасных объектов, которые обязаны заключать договор, определены положениями федерального закона № 225.
Как защитить информацию внутри компании: на бумаге или в электронных документах
Сотрудница одной компании отправляла секретные документы, и ей за это ничего не было. А в другой компании за похожее нарушение сотрудники получили по 2 года условно.
Виктория Краснова
Юрист по интеллектуальной собственности
Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.
Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.
Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.
Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.
Выберите информацию, которую стоит защитить
Компании хотят защитить информацию, которая помогает им зарабатывать.
Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.
В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.
Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.
Есть перечень сведений, которые нельзя скрывать:
В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:
| Можно | Нельзя |
|---|---|
| — Список клиентов и поставщиков |
— Способы и принципы ценообразования
— Маркетинговые исследования и рекламные кампании
— Технологические сведения о продукции
— Особенности производственных процессов
— Информация о методах управления и внутренней организации предприятия
— Деловая переписка
— Состав и квалификация персонала
— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое
— Задолженность по зарплате
— Список лиц, которые могут представлять организацию без доверенности
— Номер лицензии на осуществление деятельности
Защитите секретную информацию от сотрудников и сторонних партнеров
Чтобы защитить секретные данные, компании нужно пройти четыре шага:
Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.
Чтобы ввести режим коммерческой тайны, компании нужно:
Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.
Подробнее об этом расскажем в следующих статьях.
Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату
Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.
В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.
Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.
Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.
Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.
Компания не заключила договор с сотрудником и потеряла разработанный продукт
Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.
«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.
Защитить интеллектуальную собственность компании. Вы можете защитить:
Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.
Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.
Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.
Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.
Режим конфиденциальности может сработать и в более мирных условиях.
Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки.
Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.
Без коммерческой тайны ввести режим конфиденциальности нельзя.
Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽
По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.
Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.
Когда секретная информация защищена сама по себе
Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:
Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.
Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.
Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.
Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.
Наказать за раскрытие коммерческой тайны
Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:
| Ответственность | Наказание | Основание |
|---|---|---|
| Дисциплинарная | В зависимости от вины, по решению руководителя компании: |
—замечание
Закон не запрещает применять материальное и дисциплинарное наказание за одно и то же нарушение
Штраф для должностных лиц — от 4000 до 5000 ₽
В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.
Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно
Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.
Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.
В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.
Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.
ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф
ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.
Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.
Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.
Главное
Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.
Для защиты ценной информации:
За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.
Подписка на новое в
Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.
Сейчас читают
Как оформить чек коррекции
Чек коррекции поможет избежать штрафа в случае ошибочной операции или если забыли выбить чек по кассе в момент продажи или возврата
Главные изменения в законах 2021 года: как они повлияли на бизнес
Собрали обзор важных законов для малого и среднего бизнеса, которые вступили в силу в 2021 году
Необоснованная налоговая выгода: что это такое и как бизнесу избежать штрафов и доначисления налогов
Если ФНС выявит необоснованную налоговую выгоду, бизнесу могут доначислить налоги и назначить штраф. Разбираем, как экономить на налогах без негативных последствий
Будьте в курсе событий бизнеса
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей, которые помогут сделать бизнес сильнее
© 2006—2021, АО «Тинькофф Банк», Лицензия ЦБ РФ № 2673 — Команда проекта
Тинькофф Бизнес защищает персональные данные пользователей и обрабатывает Cookies только для персонализации сервисов. Запретить обработку Cookies можно в настройках Вашего браузера. Пожалуйста, ознакомьтесь с Условиями обработки персональных данных и Cookies.
Чтобы скачать чек-лист,
подпишитесь на рассылку о бизнесе
После подписки вам откроется страница для скачивания