Головна  Карта сайту  Розміщення реклами на порталі

СПІЛЬНОТА КАДРОВИКІВ І ФАХІВЦІВ З УПРАВЛІННЯ ПЕРСОНАЛОМ
Ласкаво просимо
  Новини
  Бібліотека статей
  Нормативна база
  Зразки документів
  Виробничий календар
  Книжкова полиця
  Хто є хто
  Глосарій
  Розміщення реклами
  Наші партнери
  Форум
Нові матеріали
Підписатися на розсилку





Facebook
Реклама
Реклама
Информбезопасность предприятия: как защититься от недобросовестных сотрудников. Часть 1
Новини
13.03.2014
Информбезопасность предприятия: как защититься от недобросовестных сотрудников. Часть 1
 

Информационная безопасность предприятия занимает одну из лидирующих позиций среди факторов его успешной работы. От уровня такой безопасности во многом зависят шансы компании справиться с внешними угрозами: конкурентами, рейдерскими атаками, излишним административным давлением контролирующих органов и т. д.

Однако нередко «удар» может быть нанесен с тыла — причиной утечки стратегически важной для фирмы информации могут стать бывшие или действующие сотрудники. Цель этой публикации состоит в предложении читателю некоторых практических рекомендаций по формированию или оптимизации системы информационной безопасности предприятия.

Следует отметить, что должный уровень этого вида безопасности может быть гарантирован только при построении комплексной системы, которая должна состоять двух главных элементов: технического и юридического.

Так, техническую часть системы информационной безопасности предприятия составляют программные и технические средства предотвращения утечки, уничтожения и блокирования информации, нарушения целостности и режима доступа к ней. Этот элемент системы условно можно назвать «прямым» сдерживающим фактором, который может исключить всякую возможность нарушить режим использования информации.

Основное внимание автора в этом материале будет сосредоточено на втором, юридическом элементе системы, под которым мы понимаем нормативное определение собственником (руководством) предприятия порядка доступа к информации и правил ее обработки. Этот элемент системы условно можно назвать «непрямым» сдерживающим фактором, который через призму рассматриваемой темы направлен на решение двух главных задач: 1) привить пользователям информации чувство неизбежной юридической ответственности за нарушение порядка ее использования (обработки) и 2) обеспечить возможность практической реализации такой ответственности путем сбора надлежащих и допустимых доказательств возможных нарушений и следовательно — успешной защиты своих прав в суде.

Кроме того, установление порядка использования информации на предприятии позволяет сделать этот процесс максимально контролируемым и понятным для его участников.

Таким образом, по нашему мнению, юридическую составляющую системы информационной безопасности компании можно считать неотъемлемой «процедурной» оболочкой технического «ядра» этой системы.

Переходя к рассмотрению возможной модели юридической части указанной системы следует определиться с главными ее элементами, к числу которых можно отнести: 1) собственно информацию, которая подлежит защите и 2) участников процесса работы с ней. Остановимся на каждом из них более детально.

Информация. Учитывая законодательное определение термина «информация», а также практический опыт работы на предприятиях, можно утверждать, что в юридической защите, как правило, нуждаются три формы тех или иных сведений:

  1. Информация в электронном виде, сохраненная на определенных материальных носителях (ПК, серверы, USB носители, карты памяти и т. д.).
  2. Документация компании (информация, изложенная на бумаге).
  3. Устная информация, которая стала известна сотруднику, либо информация, не зафиксированная в объективном виде, но которую сотрудник получил вследствие собственного анализа и сопоставления определенных фактов (обстоятельств).

Итак, с точки зрения построения эффективной системы информационной системы предприятия важно понимать, какая именно информация подлежит защите (охране).

Статьей 21 Закона Украины «Об информации» (в редакции Закона от 13.01.2011 г. № 2938-VI) определено, что информацией с ограниченным доступом является конфиденциальная, тайная и служебная информация. Конфиденциальной является информация о физическом лице, а также информация, доступ к которой ограничен физическим или юридическим лицом, кроме субъектов властных полномочий. Конфиденциальная информация может распространяться по желанию (согласию) соответствующего лица в определенном ею порядке в соответствии с предусмотренными ею условий, а также в других случаях, определенных законом.

Гражданский кодекс Украины в статье 505 предусматривает понятие «коммерческой тайны», которой является информация, секретная в том смысле, что она в целом или в определенной форме и совокупности ее составляющих является неизвестной и не является легкодоступной для лиц, которые обычно имеют дело с видом информации, к которому она принадлежит, в связи с этим имеет коммерческую ценность и была предметом адекватных существующим обстоятельствам мер по сохранению ее секретности, принятых лицом, законно контролирующим эту информацию. Коммерческой тайной могут быть сведения технического, организационного, коммерческого, производственного и другого характера, за исключением тех, которые в соответствии с законом не могут быть отнесены к коммерческой тайне.

На наш взгляд, в сфере предпринимательской деятельности юридического лица понятия «конфиденциальная информация» и «коммерческая тайна» можно считать синонимами.

Как видим, право определить, какую именно информацию относить к разряду конфиденциальной или коммерческой тайны, принадлежит собственнику такой информации.

Однако, стоит отметить, что постановлением Кабинета Министров Украины «О перечне сведений, не представляющих коммерческую тайну» от 09.08.1993 г. № 611 установлен перечень информации, которая не может быть отнесена к разряду коммерческой тайны, а именно:

  • учредительные документы, документы, разрешающие заниматься предпринимательской деятельностью и ее отдельными видами;
  • информация по всем установленным формам государственной отчетности;
  • данные, необходимые для проверки исчисления и уплаты налогов и других обязательных платежей;
  • сведения о численности и составе работающих, их заработной плате в целом и по профессиям и должностям, а также наличие свободных рабочих мест;
  • документы об уплате налогов и обязательных платежей;
  • информация о загрязнении окружающей природной среды, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью, а также другие нарушения законодательства Украины и размеры причиненных при этом убытков;
  • документы о платежеспособности;
  • сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, союзах, объединениях и других организациях, занимающихся предпринимательской деятельностью;
  • сведения, что в соответствии с действующим законодательством подлежат объявлению.

Этим постановлением также предусмотрено, что предприятия обязаны подавать перечисленные в нем сведения органам государственной исполнительной власти, контролирующим и правоохранительным органам, другим юридическим лицам в соответствии с действующим законодательством, по их требованию.

На наш взгляд, наиболее проблемным пунктом из приведенного списка являются документы о платежеспособности, поскольку именно такого рода информация часто не желательна к разглашению. В то же время, поскольку детальное описание форм предоставление такой информации в постановлении правительства не раскрыто, ее собственник имеет определенный простор для минимизации доступа к ней. Более того, в данном случае юридическая сила постановления может быть предметом отдельных дискуссий, которая сознательно не затрагивается автором.

Таким образом, предприятию следует внимательно подходить к определению перечня информации, относящейся к категории коммерческой тайны. Компания должна четко определить в своих внутренних документах общий список конфиденциальной информации.

Таким документом может быть положение о коммерческой тайне, утвержденное общим собранием участников компании или приказом руководителя. Также, можно рекомендовать закрепить такой перечень в виде номенклатуры с нужным уровнем детализации и приближения к особенностям работы предприятия. Такая номенклатура конфиденциальной информации позволит достичь определенного уровня универсальности ее применения к каждому отдельному сотруднику, а также, при необходимости, формировать статистические и и аналитические материалы для руководства.

Следующим этапом построения системы информационной безопасности является определение перечня информации (части номенклатуры), к которой предоставляется доступ определенной категории сотрудников (например — в разрезе должностей), а также утонение этого списка персонально для каждого отдельного сотрудника (например — для сокращения доступов на период испытательного срока). Указанные действия могут быть реализованы в должностных инструкциях и приказах руководителя соответственно.

На наш взгляд, это позволит централизованно наладить механизм сдерживания и противовесов и устранить возможность неконтролируемых доступов к информации в будущем (например — по причине отсутствия отдельного запрета). Также это даст возможность подтвердить, что сотрудник фактически имел доступ к определенной информации либо же наоборот — доказать, что завладение определенным видом информации выходило за рамки служебных функций сотрудника и было противоправными.

Не будет лишним напомнить, что любое правило или порядок эффективны лишь тогда, когда их исполнение контролируется должными образом. Для этого следует определить конкретное подразделение (например — служба безопасности и IT-отдел), либо же должностное лицо, которые будут нести персональную ответственность за контроль над соблюдением правил доступа к коммерческой тайне, а также хранением, размножением и использованием документов.

Часть 2

Андрей Тригуб

ЮРЛІГА

Переглядів: 11305 Версія для друку
 
Дивіться також:
Воєнний стан в Україні: що потрібно знати?
IKEA попала под суд из-за подозрения в слежке за персоналом
Как говорить сотрудникам неприятные вещи?
Шпионаж за сотрудниками: бренд H&M оштрафовали на рекордную сумму
Как найти общий язык с агрессивным сотрудником
Француз скучал на работе и подал на работодателя в суд
Что делать, если начальник ведет себя отвратительно
Помер під час сексу у відрядженні — суд визнав це «нещасним випадком на виробництві»
На ножах: как правильно ссориться с начальником
Мир не хочет работать по 8 часов в день
Испанца уволили за то, что рано приходил на работу
Шесть типов плохого руководителя. Как поладить с каждым из них?
Информбезопасность предприятия: как защититься от недобросовестных сотрудников. Часть 2
Пять признаков шпиона в вашем офисе
Как уволить друга, или С глаз долой, с работы вон!
10 способов довести сотрудника до увольнения по собственному желанию
«Большой брат» на работе, или Способы слежки за сотрудниками
Вся правда о лжи в офисе
Осторожно — хамы!
Горящие на работе
О правах и не очень связанных с ними обязанностях
Что бы вы хотели скрыть от начальства, или Где начальнику искать подвоха
Адреса, пароли, явки, или Как работодатели следят за сотрудниками
Правдивые истории офисных плакс
Сладкая месть уволенных работников
Внутренняя конкуренция персонала: как выжить в офисных «джунглях»
Работодатели США требуют от сотрудников пароли к соцсетям
Двойное подчинение на работе
Пять качеств, которые раздражают ваших коллег
Соберитесь, вас снимают! или Как понять, что руководство устроило за вами слежку
Налоговики в ужасе от украинских работодателей
«Пожиратели» рабочего времени подчиненных — найти и обезвредить
5 признаков, свидетельствующих о том, что ваш коллега работает на конкурентов
Как работает система доносов в крупных компаниях
Кадровые хитрости: как увольняют с «провокацией»
Офис следит за своими сотрудниками
«Я не могу выполнить работу в требуемые сроки»: варианты ответов
«Вы не могли бы перераспределить нагрузки? Мне кажется, я работаю больше других, и очень устал»: варианты ответов
Изощренная месть за увольнение
Самые ужасные подчиненные. Вид сверху
Какие слова могут грозить увольнением с работы?
Простые истины о конфликтах
«Вы тайком от меня ищете новую работу?!»: варианты ответов
Месть за увольнение
Скажи «нет» завалу на работе: 5 стратегий успеха
«Я слышал, что за моей спиной вы плохо обо мне отзывались»: варианты ответов
«С завтрашнего дня вы у нас больше не работаете»: варианты ответов
«Не могу работать!»: десять выходов из положения
Семь правил устранения конфликта с клиентом
Корпоративное стукачество
Всі новини
Реклама
Проекти для професіоналів
Оголошення
Шановні відвідувачі!
З усіх питань щодо роботи порталу звертайтесь до 
адміністратора
2024 © МЕДІА-ПРО
2024 © HR Liga

Copyright © 2005–2024 HR Liga
Використання матеріалів із журналів Групи компаній «МЕДІА-ПРО» лише за погодженням з редакцією (адміністрацією) порталу.
Редакція (адміністрація) залишає за собою право не розділяти думку авторів матеріалів, що розміщуються.
Редакція (адміністрація) порталу не несе відповідальності за збитки, які можуть бути завдані внаслідок використання, невикористання або неналежного використання інформації, що міститься на порталі.
Відповідальність за достовірність інформації та інших відомостей несуть автори публікацій.
З усіх питань пишіть на admin@hrliga.com