Лекция 4. Способы защиты конфиденциальной информации

Лекции 4 и 5
Способы защиты конфиденциальной информации.
Конкурентная разведка и промышленный шпионаж.
Лекция 4
СПОСОБЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Информация, которая в силу закона не может
составлять коммерческую тайну
•
•
•
•
•
•
•
•
•
учредительные документы;
документы, дающие право заниматься предпринимательской деятельностью;
документы о платежеспособности;
о составе имущества государственного или муниципального унитарного предприятия,
государственного учреждения и об использовании ими средств соответствующих бюджетов;
о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарноэпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других
факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования
производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об
охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и
о наличии свободных рабочих мест;
о задолженности работодателей по выплате заработной платы, по иным социальным выплатам;
документы об уплате налогов и обязательных платежах;
о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за
совершение этих нарушений;
и некоторые другие.
Обеспечение правовой охраноспособности КИ
Основной способ – отнесение к коммерческой тайне.
Регламентируется федеральным законом №98-ФЗ от 29.07.2004 "О коммерческой тайне".
Коммерческая тайна — режим конфиденциальности информации,
позволяющий её обладателю при существующих или возможных
обстоятельствах увеличить доходы, избежать неоправданных
расходов, сохранить положение на рынке товаров, работ, услуг или
получить иную коммерческую выгоду.
Признаки КТ
Для правового закрепления статуса КТ нужно, чтобы информация
удовлетворяла трем требованиям (обладала тремя признаками):
1.
Соответствующая информация неизвестна третьим лицам.
2.
К ней нет свободного доступа на законном основании.
3.
Обладатель информации принимал меры для защиты ее
конфиденциальности.
+ эта информация не должна входить в список информации, которая не может
составлять КТ в силу закона
Обладатель информации, составляющей КТ
Обладатель информации - лицо, которое владеет информацией,
составляющей коммерческую тайну, на законном основании, и
которое ограничило доступ к этой информации и установило в
отношении ее режим коммерческой тайны.
Обладателем коммерческой тайны в отношении информации,
созданной работником в результате выполнения им служебных
обязанностей или по заданию работодателя, признается
работодатель, если договором между ним и работником не
предусмотрено иное.
Держатель информации, составляющей КТ
• Работник при выполнении трудовых обязанностей считается
держателем информации, составляющей КТ его работодателя.
• Также получить доступ к информации, составляющей
коммерческую тайну, с согласия ее обладателя или на ином
законном
основании
при
условии
сохранения
конфиденциальности этой информации, может получить
контрагент. Здесь контрагентом называется сторона гражданскоправового
договора,
которой
обладатель
информации,
составляющей коммерческую тайну, передал эту информацию.
Что может быть отнесено к И., составляющей КТ
Сведения о финансовой деятельности
•
•
•
•
имущественное состояние
бюджет и обороты
операции по банковским счетам
сведения о финансовых, кредитных и иных операциях
Информация о рынке
•
•
•
•
каналы поставок, сбыта товара и услуг
списки поставщиков, потребителей
тексты деловой переписки и договоров
производимые предприятием маркетинговые исследования, а также эксперименты,
связанные с привлечением потенциальных клиентов к производимой продукции или
оказываемым услугам
Что может быть отнесено к И., составляющей КТ
Сведения о производстве
• а также о выполнении работ и оказании услуг
Сведения о научных разработках
• изобретения, полезные модели и образцы
• know-how – оригинальные технологии, знания, умения
Сведения о системе материально-технического обеспечения
• сведения о составе клиентов, представителей и посредников,
• потребности в материалах, сырье, деталях, источники удовлетворения этих
потребностей,
• транспортные и энергетические потребности предприятия
Что может быть отнесено к И., составляющей КТ
• сведения о персонале предприятия;
• сведения о принципах управления предприятием;
• сведения о применяемых и перспективных методах управления производством;
• сведения о фактах ведения переговоров, предметах и целях совещаний и
заседаний органов управления;
• сведения о планах предприятия по расширению своей деятельности по
выполнению работ, оказанию услуг и в сфере производства;
• условия слияния, поглощения, выделения и объединения обществ, связанных
со всем предприятием;
• прочие сведения, например, важные элементы систем безопасности, кодов и
процедур доступа к информационным сетям и центрам, принципы организации
охраны и защиты коммерческой информации и коммерческой тайны на
предприятии.
Действия обладателя по защите И., сост. КТ
Меры по охране конфиденциальности И. должны включать в себя:
• определение перечня информации, составляющей коммерческую тайну;
• ограничение доступа к И., сост. КТ, путем установления порядка обращения с этой
информацией и контроля за соблюдением такого порядка;
• учет лиц, получивших доступ к И., сост. КТ, и (или) лиц, которым такая информация
была предоставлена или передана;
• регулирование отношений по использованию И., сост. КТ, с работниками на основании
трудовых договоров и контрагентами на основании гражданско-правовых
договоров;
• нанесение на материальные носители, содержащие И., сост. КТ, грифа "Коммерческая
тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование
и место нахождения, для индивидуальных предпринимателей – ФИО гражданина, являющегося
индивидуальным предпринимателем, и место жительства).
Действия обладателя по защите И., сост. КТ
Работодатель обязан:
• ознакомить под расписку работника, доступ которого к
информации, составляющей коммерческую тайну, необходим для
выполнения им своих трудовых обязанностей, с перечнем
информации, составляющей коммерческую тайну, обладателями
которой является работодатель и его контрагенты;
• ознакомить
под
расписку
работника
с
установленным
работодателем режимом коммерческой тайны и с мерами
ответственности за его нарушение;
• создать работнику необходимые условия для соблюдения им
установленного работодателем режима коммерческой тайны.
Доступ работника к информации, сост. КТ
Доступ работника к информации, составляющей коммерческую
тайну, осуществляется с его согласия, если это не предусмотрено
его трудовыми обязанностями.
Работник обязан:
• выполнять установленный работодателем режим коммерческой тайны;
• не разглашать И., составляющую КТ, обладателями которой являются работодатель и его
контрагенты, и без их согласия не использовать эту информацию в личных целях;
• не разглашать И., составляющую КТ, обладателями которой являются работодатель и его
контрагенты, после прекращения трудового договора в течение срока, предусмотренного
соглашением между работником и работодателем, заключенным в период срока действия
трудового договора, или в течение трех лет после прекращения трудового договора, если
указанное соглашение не заключалось;
• возместить причиненный работодателю ущерб, если работник виновен в разглашении
информации, сост. КТ, ставшей ему известной в связи с исполнением им трудовых обязанностей;
• передать работодателю при прекращении или расторжении трудового договора имеющиеся в
пользовании работника материальные носители информации, содержащие И., сост. КТ.
Ответственность за нарушение режима
конфиденциальности
В соответствии со ст. 9 Федерального закона от 29.07.2004 N 98-ФЗ
"О коммерческой тайне", разглашение информации,
составляющей коммерческую тайну, - действие или бездействие, в
результате которых информация, составляющая коммерческую
тайну, в любой возможной форме (устной, письменной, иной
форме, в том числе с использованием технических средств)
становится известной третьим лицам без согласия обладателя
такой информации либо вопреки трудовому или гражданскоправовому договору
К работникам, нарушившим режим
конфиденциальности, могут быть применены
• Дисциплинарное взыскание в соответствии со статьями
57, 81, 192 и 193 Трудового кодекса РФ:
• замечание,
• выговор - не может быть вынесен позднее одного месяца со дня
обнаружения проступка или позднее шести месяцев со дня его
совершения (замечание и выговор не вносятся в трудовую книжку, но
могут вноситься в личную карточку работника, срок действия – год,
если по инициативе работодателя не было снято ранее),
• увольнение (в том числе за повторное – в течение года – нарушение
трудовой дисциплины).
К работникам, нарушившим режим
конфиденциальности, могут быть применены
• Административное взыскание
(предупреждение, штраф до 5 тыс.р.,
исправительные работы, арест) определено
статьями 13, 14 Кодекса Российской Федерации
об административных правонарушениях
• Уголовная ответственность (штраф от 5 т.р.
до 1 млн руб, поражение в правах – запрет
занимать определенные должности и
заниматься определенной деятельностью,
принудительный труд, лишение свободы).
Регулируется ст. 275, 283, 284 гл. 29 Уголовного
кодекса.
К работникам, нарушившим режим
конфиденциальности, могут быть применены
• Привлечение к материальной ответственности, а именно
обязанность возместить ущерб, регулируется в соответствии
со ст. 232, 238, 242, 243 Трудового Кодекса РФ.
Если работодатель обнаружил факт разглашения
Составление акта с указанием:
• фамилии, имени, отчества работника, обнаружившего факт
разглашения;
• сведений, которые были разглашены;
• обстоятельств, при которых произошли разглашение и
обнаружение этого факта;
• даты и времени разглашения и обнаружения.
Если работодатель обнаружил факт разглашения
Проведение проверки специально созданной комиссией, которая
создается приказом из не менее трех компетентных и не
заинтересованных в исходе разбирательства работников,
имеющих допуск к сведениям, разглашение которых произошло.
Комиссия:
• запрашивает объяснение у лица, разгласившего информацию; фиксирует иные
доказательства факта нарушения режима коммерческой тайны (документы,
копии электронных писем, видеозаписи и т.д.);
• по итогам расследования составляет акт, в котором отражает время, место и
обстоятельства нарушения, причины и условия его совершения, виновных лиц
и степень их вины, размер причиненного ущерба и предложения по его
возмещению, предлагаемые меры наказания.
По итогам расследования
• от работника следует потребовать письменное объяснение (ст. 193
ТК РФ). Данное требование лучше оформить письменно и вручить
работнику под роспись.
• Если по истечении двух рабочих дней указанное объяснение
работником не представлено, то составляется соответствующий
акт.
• После установления вины работника, оценки тяжести
совершенного проступка -разглашения тайных сведений работодатель в случае принятия решения об увольнении издает об
этом приказ и в последний рабочий день производится запись в
личной карточке и трудовой книжке работника о его увольнении.
Случаи обязательного предоставления И., сост. КТ
1. В интересах борьбы с преступностью, осуществления правосудия, соблюдения
налогового и антимонопольного законодательства, право на доступ к КИ имеют:
•
•
•
•
судебные органы;
органы прокуратуры;
органы, осуществляющие оперативно-розыскную деятельность;
органы следствия и дознания
2. В целях контроля за формированием и использованием государственных
информационных ресурсов :
•
•
•
•
•
•
органы статистики
органы (фонды) пенсионного страхования
органы (фонды) медицинского страхования
органы налоговой службы
организации-депозитарии ценных бумаг
органы Архивной Службы России и пр.
Случаи обязательного предоставления И., сост. КТ
3. По обращениям депутатов Совета Федерации и депутата Государственной Думы
Федерального Собрания Российской Федерации
• по вопросам, связанным с их депутатской деятельностью безотлагательно предоставляется
необходимая информация и документация независимо от степени их секретности в соответствии
с федеральным законодательством о государственной тайне.
4. В случае обязательной внешней аудиторской проверки с целью установления
достоверности бухгалтерской (финансовой) отчетности и соответствия совершенных
финансовых и хозяйственных операций нормативным актам Российской Федерации,
• (проводимой по поручению государственных органов, органов дознания, следователя, прокурора,
суда и арбитражного суда в соответствии с процессуальным законодательством Российской
Федерации).
Другие возможности правовой защиты И.
Способы
защиты
Патент
Авторское право и
Смежное право
Товарный знак и
фирменное
наименование
Патент
Патент - охранный документ, удостоверяющий исключительное право, авторство и
приоритет изобретения (срок действия патента составляет 20 лет со дня подачи
первоначальной заявки на выдачу патента), полезной модели (срок действия
патента составляет 10 лет) либо промышленного образца (15 лет).
Патентное право регулируется главой 72 Гражданского Кодекса РФ.
Авторское право
Авторское право - подотрасль гражданского права, регулирующая
правоотношения, связанные с созданием и использованием
(изданием, исполнением, показом и т. д.) произведений науки,
литературы или искусства, то есть объективных результатов
творческой деятельности людей в этих областях.
Исключительные права для объектов авторского права действуют в течение всей жизни автора, а
также семидесяти лет, считая с 1 января года, следующего за годом смерти автора.
Программы для ЭВМ и базы данных также охраняются авторским правом. Они приравнены к
литературным произведениям и сборникам, соответственно.
Авторское право регулируется главой 70 ГК РФ.
Смежные права
Смежные права (ГК. Гл. 71) - права, предоставляемые для охраны интересов правообладателей в
отношении следующих результатов интеллектуальной деятельности :
• исполнений артистов-исполнителей и дирижеров, постановок режиссеров-постановщиков
спектаклей , если эти исполнения выражаются в форме, допускающей их воспроизведение и
распространение с помощью тех. средств (право действует в течение всей жизни исполнителя)
• фонограмм, то есть любых исключительно звуковых записей исполнений или иных звуков либо
их отображений(право действует 50 лет);
• сообщений передач организаций эфирного или кабельного вещания (50 лет);
• БД в части их охраны от несанкционированного извлечения и повторного использования
составляющих их содержание материалов ( право действует 15 лет)
• произведений науки, литературы и искусства, обнародованных после их перехода в
общественное достояние, в части охраны прав публикаторов таких произведений (право
действует 25 лет).
Товарный знак
Товарный знак (trademark) — обозначение (словесное, изобразительное,
комбинированное или иное), «служащее для индивидуализации товаров,
юридических лиц или индивидуальных предпринимателей». Исключительное
право на товарный знак подтверждается свидетельством на товарный знак [ГК
РФ, гл. 76]
Также
законодательство
РФ
предоставляет
организациям
возможности
получения
исключительных прав на селекционные достижения
(гл. 73 ГК РФ), на топологии интегральных микросхем
(гл. 74 ГК РФ), на секреты производства (ноу-хау).
Опознавательные знаки
Copyright — знак охраны авторского права
Registered trademark — зарегистрированный товарный знак
Phonorecord — звукозапись (знак охраны смежных прав
на пластинках и компакт-дисках)
Trademark — товарный знак (встречается в Америке)
Service mark — знак обслуживания (встречается в Америке)
Использование
копирайта
(см. Лебедев,
«Ководство»)
Использование
копирайта
(см. Лебедев,
«Ководство»)
Использование
копирайта
(см. Лебедев,
«Ководство»)
Использование
копирайта
(см. Лебедев,
«Ководство»)
Лекция 5
КОНКУРЕНТНАЯ РАЗВЕДКА И ПРОМЫШЛЕННЫЙ ШПИОНАЖ
Конкурентная разведка
Конкурентная разведка – это проводимые на постоянной основе
сбор информации, исследования рынка и всей деловой среды с
целью выявления реальных и потенциальных факторов, которые
влияют или могут повлиять на способность компании успешно
конкурировать на данном рынке.
Иными словами, термин «конкурентная разведка» обозначает сбор и обработку информации
бизнесом (и только бизнесом), в интересах бизнеса (и никогда в интересах государства),
легальными и этичными методами (оперативные исключены), при котором явления и тенденции
рассматриваются через призму конкуренции, конкурентной борьбы.
Законодательство: о конкурентной разведке
ФЗ «О коммерческой тайне»:
Информация,
самостоятельно
полученная
лицом
при
осуществлении исследований, систематических наблюдений или
иной деятельности, считается полученной законным способом
несмотря на то, что содержание указанной информации может
совпадать
с
содержанием
информации,
составляющей
коммерческую тайну, обладателем которой является другое лицо.
Пять этапов разведывательного цикла
1.
Определение компанией целей, которые она хочет достичь в
результате осуществления разведывательно-аналитической
деятельности.
2. Сбор информации как совокупности разрозненных обрывков
сведений.
3. Сортировка, обработка, оценка полученных сведений.
4. Анализ разрозненных частей с целью преобразования их в
стратегическое знание о прошлой деятельности, об эффективности
работы, о сильных и слабых сторонах, об особых намерениях на
будущее других фигурантов рынка.
5. Применение полученной информации для выработки управленческих
решений.
Конкурентная разведка решает следующие задачи
• Информационное обеспечение процесса выработки управленческих
решений как на стратегическом, так и на тактическом уровне.
• «Система раннего предупреждения», то есть насколько возможно раннее
привлечение внимание лиц, принимающих решения, к угрозам, которые
потенциально могут причинить ущерб бизнесу.
• Выявление благоприятных для бизнеса возможностей.
• Выявление (совместно со службой безопасности) попыток конкурентов
получить доступ к закрытой информации компании.
• Управление рисками с целью обеспечить эффективное реагирование
компании на быстрые изменения окружающей среды.
Возможные результаты работы по осуществлению КР
• Опережение конкурентов в тендерах.
• Оценка потенциальных рисков и благоприятных возможностей при инвестициях.
• Опережение шагов в конкурентов в рамках маркетинговых кампаний с помощью
продуманных упреждающих действий, выработанных на основе данных,
предоставленных конкурентной разведкой.
• Получение выгод от слияний и поглощений.
• Раннее предупреждение о появлении нового конкурента, новой технологии, нового
канала сбыта.
• Выявление того, "как выглядит компания со стороны" (например с точки зрения
клиентов, конкурентов, госорганов).
• Выявление каналов утечки информации
• Влияние на информационное поле вокруг компании.
Промышленный шпионаж
Промышленный шпионаж – это проводимый на постоянной или
разовой основе сбор информации, ведущийся незаконно и
подразумевающий неэтичные действия.
Основное предназначение промышленного шпионажа — экономия
средств и времени, которые требуется затратить, чтобы догнать
конкурента, занимающего лидирующее положение, либо не
допустить в будущем отставания от конкурента, если тот
разработал или разрабатывает новую перспективную технологию,
а также чтобы выйти на новые для предприятия рынки. Обычно
деятельность по осуществлению промышленного шпионажа
нацелена на незаконное получение конфиденциальных данных
организации-конкурента, в особенности данных, составляющих
коммерческую тайну организации-"жертвы".
Законодательство: о промышленном шпионаже
ФЗ «О коммерческой тайне»:
• Информация, составляющая коммерческую тайну, обладателем
которой является другое лицо, считается полученной незаконно,
если ее получение осуществлялось с умышленным преодолением
принятых обладателем информации, составляющей
коммерческую тайну, мер по охране конфиденциальности этой
информации, а также если получающее эту информацию лицо
знало или имело достаточные основания полагать, что эта
информация составляет коммерческую тайну, обладателем
которой является другое лицо, и что осуществляющее передачу
этой информации лицо не имеет на передачу этой информации
законного основания.
Возможные способы осуществления ПШ
Методы получения доступа к фирме-жертве
подслушивание при помощи подсоединения
к кабельным сетям;
физический доступ к секретным материалам;
установка подслушивающей аппаратуры в
офисе;
применение скрытого визуального
наблюдения, фото- или видеосъемки;
перехват переговоров по мобильным
телефонам;
использование личных связей с сотрудниками
фирмы;
НСД к компьютерным системам посредством хищение информации, содержащейся в
проникновения в сеть, взлома ПО или АО
документах, чертежах, на машинных носителях
Возможные способы осуществления ПШ
Методы получения доступа к фирме-жертве
Метод “подсадной утки”
компрометация руководящих сотрудников
фирмы;
Подкуп служащих фирмы
Взяточничество;
Выведывание секретной информации под
видом проверки уровня профессионализма
сотрудников фирмы
Прочие способы
ПШ и КР
Незаконный метод
(ПШ)
Ответственность
Альтернативный законный метод
(КР)
Подкуп/шантаж лиц,
способных передать
документацию по
интересующей тематике
или образцы продукции
Ст. 204 «Коммерческий
подкуп», ст. 291 «Дача взятки»
УК РФ
Анализ отчетов коммивояжеров и
закупочных отделов.
Взаимодействие с общими клиентами и
общими поставщиками
НСД к информации при
помощи электронных
устройств, технических
средств снятия
информации, путем
подключения к
телекоммуникационным
сетям
Ч. 2 ст. 138 «Нарушение тайны
переписки, телефонных
переговоров, почтовых,
телеграфных или иных
сообщений» УК РФ.
Ч.1 ст. 183 УК РФ «Сбор
сведений, составляющих
коммерческую тайну»
Анализ биржевых отчетов консультантов
и аудиторов, финансовые отчеты и
документы, находящиеся в распоряжении
маклеров.
Беседы с владельцами информации без
нарушения закона.
ПШ и КР
Незаконный метод
(ПШ)
Ответственность
Альтернативный законный метод
(КР)
Прослушивание деловых
и личных телефонных и
иных переговоров
руководителей компанииконкурента,
осуществление наружного
наблюдения.
Ч. 1 ст. 138 «Нарушение тайны
переписки, телефонных
переговоров, почтовых,
телеграфных или иных
сообщений» УК РФ.
Сбор информации, содержащейся в СМИ,
включая офиц. документы, заявления
должностных лиц, рекламу, выступления
на конференциях и проч.
Беседы с обладателями информации без
нарушения закона.
Внедрение или вербовка
агента (трудоустройство в
компании-конкуренте
конкретных лиц либо
привлечение к
сотрудничеству
работников этой
компании
Ст. 183 «Незаконные получение
и разглашение сведений,
составляющих коммерческую
тайну» УК РФ
Поиск сведений, сообщенных публично
работниками конкурента (в публикациях,
блогах, твиттере, социальных сетях, на
тематических форумах).
Изучение объявлений о вакансиях,
размещенных компанией-конкурентом.
Беседы с владельцами информации без
нарушения закона.
ПШ и КР
Незаконный метод
(ПШ)
Похищение документов
или продукции
конкурента
Ответственность
Ст. 158 «Кража» УК РФ
Ч.1 ст. 325 «Похищение или
повреждение документов,
печатей, штампов»
Несанкционированное
Ч. 1 ст. 330 «Самоуправство» УК
проникновение на объект РФ
конкурента с целью
Ч. 2 ст. 158 УК РФ
изучения обстановки или
похищения информации
Альтернативный законный метод
(КР)
Анализ изделий конкурентов, отзывов
клиентов, обсуждений в
профессиональных сообществах.
Беседы с обладателями информации без
нарушения закона.
Посещение ярмарок, выставок,
презентаций, устраиваемых конкурентом,
изучение издаваемых им брошюр.
Дополнительная литература
1.
Федотов Н. Н. Защита информации: учебный курс,
HTML-версия. - URL: http://www.college.ru/UDP/texts
2. Информационная безопасность и защита информации:
Учебное пособие. – Ростов-н/Д: Ростовский юридический
институт МВД России, 2004. – 82 с.
3. Захаров О.Ю. Обеспечение комплексной безопасности
предпринимательской деятельности. – М.: АСТ, Астрель,
2008. – 496 с.
4. Бекряшев А. К. Теневая экономика и экономическая
преступность. / А. К. Бекряшев, И. П. Белозеров, Н. С.
Бекряшева Н.С. Омск: Омский государственный
университет, 2000. – 459 с.