Как передать флешку с конфиденциальной информацией

Обновлено: 05.07.2024

На практике работодатели не берут в расчет эти обстоятельства. Претензии к работникам возникают из-за самого факта пересылки на личную почту сведений, отнесенных в компании к коммерческой тайне.

На случай спора пригодятся локальные акты с нормами о запрете использования внешних (личных, не корпоративных) адресов электронной почты для обмена определенной информацией. Также понадобится документ (отдельное соглашение или трудовой договор) с условием о неразглашении конфиденциальной информации. В него включают обязательство не делать несанкционированные выписки и копии (включая магнитные носители) документов, содержащих коммерческую, банковскую тайну. Все эти меры в последующем помогут суду определить, какие действия с точки зрения работодателя являются разглашением сведений, которые он желает защитить.

Пересылка информации на личную электронную почту

В компаниях с разветвленной сетью обособленных структурных в локальном акте целесообразно оговорить особые условия приема-передачи секретной информации, например, с использованием защищенных каналов связи. За невыполнение требования — дисциплинарная ответственность, вплоть до увольнения по статье, особенно, если работник не ограничился только своей почтой, а отправил сведения и по другим адресам.

Работодателю необходимо ознакомить работника с режимом коммерческой тайны (включая перечень секретной информации и перечень должностей, имеющих доступ к ней). Создать работнику необходимые условия для соблюдения им этого режима. Нанести на конфиденциальные документы гриф «Коммерческая тайна» Получить у работника письменное обязательство о неразглашении сведений.

Копирования конфиденциальной информации на флешку

Факт копирования информации на съемный носитель подтверждается свидетельскими показаниями или данными программы, контролирующей действия пользователей компьютеров. Подобное поведение нередко становится причиной увольнения работников.

Для выполнения должностных обязанностей работодатель предоставляет работнику оборудованное рабочее место. Когда сотрудник с помощью компьютера занимается личными делами и общением в соцсетях, то у руководителя есть все основания выразить недовольство.

Если устные беседы не возымели действия, то нужно переходить к более жестким мерам — взысканию. В этом поможет локальный акт, где будет прописано следующее, что работник вправе использовать предоставленное работодателем оборудование только для выполнения должностных обязанностей и ему запрещено использовать корпоративную почту для личной переписки.

В акте внутренней проверки следует описать возможные негативные последствия для компании от неправомерных действий работника. Например, создание реальной угрозы безопасности информационным системам из-за риска заражения компьютера вирусом и опасность разглашения конфиденциальной информации.
Судебная практика по этой категории споров неоднозначна. Исход дела во многом зависит от трех факторов: вида взыскания, намерений работника в отношении скопированной информации и содержания локальных актов. Суды проверяют, установлен ли в них запрет на копирование информации на внешние носители.

Когда у работодателя нет доказательств передачи сведений с коммерческой тайной третьим лицам, но факт копирования файлов на флешку подтвержден, то целесообразно ограничиться выговором или замечанием. Несколько подобных взысканий и работник также может быть уволен по п. 5 ч. 1 ст. 81 ТК РФ (неоднократное неисполнение обязанностей).

Шансы на выигрыш дела у работодателя повышаются, если работник дал письменное обязательство не копировать документы компании.

К разглашению сведений, составляющих коммерческую тайну, приводят не только действия работников, но и их бездействие. Как правило, это связано с нарушением процедур, предусмотренных работодателем для соблюдения режима коммерческой тайны. Иными словами, работники забывают или игнорируют правила, прописанные с целью исключить доступ к секретным сведениям других сотрудников компании, конкурентов и просто посторонних лиц.

Например, работник, который работает за компьютером, покидает рабочее место без блокировки доступа к системе, а сотрудник, работающий с секретными бумагами, забывает убрать их от посторонних глаз. Приводит это к печальным последствиям и для работодателя (потеря доверия контрагентов, клиентов), и для работника (увольнение по статье, сложности с поиском другой работы).

Условия законности увольнения за разглашение коммерческой тайны.

1. Работник разгласил сведения, относящиеся к коммерческой тайне
2. Эти сведения стали известны ему при исполнении трудовых обязанностей
3. Работник обязывался эти сведения не разглашать.
4.
Перечисленные факты работодатель должен доказать в суде.

Добрый день! Уволился из одной китайской фирмы, устроился в другую китайскую фирму - конкурент. За день до увольнения скопировал личную информацию с рабочего ноутбука на личный ноутбук. Копировал при помощи личного USB носителя. Так как копировать информацию можно только с подтверждения начальника в электронной базе данных, то сделал запрос на копирование, начальник утвердил запрос на копирование личных файлов. Вместе с личной информацией по ошибке скопировал внутренние документы компании которые как утверждают сотрудники компании являются коммерческой тайной. Договорился, что удалю файлы с USB носителя и ноутбука в присутствии сотрудников компании из которой уволился, однако когда я пришёл к ним с ноутбуком и USB носителем, представители компании вызвали полицию. Сотрудники полиции доставили меня в отделение вместе с представителями компании, которые в свою очередь написали заявление о том, что я скопировал коммерческую тайну. Сотрудники полиции изъяли личный ноутбук и USB носитель на экспертизу. Внутренние файлы, принадлежащие компании из которой уволился открывались с USB носителя на другом ноутбуке, один файл даже был скопирован (издание в формате PDF, автора не имеющего отношения к компании, доступно в общем доступе). Также в личный ноутбук вставлялись другие USB носители. Информация, скаченная с рабочего ноутбука, не передавалась на другие USB носители - только личный ноутбук и личный USB носитель. Также ноутбуком пользовалась гражданская жена. Сейчас ноутубук и флешка на экспертизе. Какие дальнешие действия посоветуете? Применима ли в этом случае статья 183?

Какие либо рекомендации сложно дать, так как вопрос стоит о собирании сведений, составляющих коммерческую тайну. Что это за сведения и являются ли они коммерческой тайно установить без их изучения невозможно. Грубо говоря, назвать коммерческой тайной можно что угодно, даже то, что правая дверь автомобиля генерального директора не открывается, и это в случае оглашения подорвет его репутацию.

Если, считать что у вас на компьютере оказалось коммерческая тайна, то скорее всего вы подлежите уголовной ответственности, так как в учреждении где вы работали установлен скорее всего порядок использования информации и вы должны были в силу своей работы знать. Скачал по ошибке здесь не пройдет. Уголовная ответственность наступает за собирание сведений, и если в вашем компьютере окажется такая информация, то факт собирания на лицо.

Но ведь для возбуждения уголовного дела нужен умысел, документы были скачены с согласия начальника - то есть не тайно и не путём похищения, а согласно правилам компании, однако в связи с суматохой последнего дня перед увольнением, по ошибке скачались другие файлы. Соотвественно умысла не было, факта передачи/разглашения коммерческой тайны не было.

Из этого следует, что, например, информацию об используемых технологиях в компании можно отнести к информации, составляющей коммерческую тайну, так как если она станет известна конкурентам, то ее ценность существенно снизится, а, например, информация о том, сколько денег находится на счету компании и с какими контрагентами она работает не может быть отнесена к информации, составляющей коммерческую тайну, поскольку само по себе разглашение такой информации никак не обесценивает саму информацию (что никак не отменяет возможность причинения убытков компании).
Однако это ни в коем случае не значит, что информацию о том, сколько денег на счете компании и с какими контрагентами она работает нельзя защитить, просто она как раз относится к следующей категории:
— Конфиденциальная информация – в нее как раз-таки входит любая информация, относительно которой сторонами соглашения была достигнута договоренность о недопустимости ее разглашения.
Почему такое деление важно? Потому что если Вы информацию о балансе своего счета определите в NDA в качестве информации, составляющей коммерческую тайну, то есть хорошие шансы на то, что в случае судебного спора по факту разглашения такой информации, суд не признает разглашение такой информации в качестве нарушения.
(. ) Из этого вытекает первое правило – в NDA обязательно нужно максимально конкретно, четко и развернуто описывать какую именно информацию стороны договорились не разглашать.

Всякие абстрактные формулировки формата «не разглашать вообще ничего», «не разглашать любую информацию, переданную стороне» не работают. Если Вы четко не напишите, что нельзя разглашать, например, информацию о тех же контрагентах, то в случае разглашения такой информации никакой ответственности не будет даже в случае наличия общих формулировок в NDA.

---> Пример из практики: в Постановлении ФАС Поволжского округа от 29.07.2013 по делу N А65-9864/2012 суд признал незаключенными положения Договора о неразглашении конфиденциальной информации только потому, что Стороны не определили конкретный перечень информации, которую нельзя разглашать, ограничившись формулировкой «все условия договора являются коммерческой тайной»).

---> Пример из практики: в рамках дела А56-72074/2014 (Постановление тринадцатого арбитражного апелляционного суда от 03.07.2015 г.) суд отказал истцу в удовлетворении требований в связи с тем, что в договоре не был определен конкретный перечень конфиденциальной информации (цитата из Постановления: «В этой связи суд первой инстанции обоснованно пришел к выводу о том, что ввиду отсутствия в договоре и соглашении указаний на конкретный перечень сведений, в отношении которых может быть установлен режим коммерческой тайны, ответчиком не доказан факт нарушения истцом данного режима»).
Таким образом, оптимальный вариант – сделать полный перечень отдельным приложением к NDA (у меня обычно только перечень занимает несколько страниц).
Многие крупные компании вообще передают конфиденциальную информацию исключительно по отдельным Актам приема-передачи конфиденциальной информации, чтобы дополнительно зафиксировать, что передаваемая информация относится к конфиденциальной.
3. Также еще очень распространенная ошибка – писать в NDA, что мол «в случае разглашения конфиденциальной информации Сторона обязуется возместить все причиненные убытки». Те, кто пишут такие пункты по всей видимости совершенно не знакомы с практикой компенсации убытков. Дело в том, что для компенсации убытков нужно конкретно доказать:
— факт наличия убытков, ИХ РАСЧЕТ.
— вину стороны, которая разгласила конфиденциальную информацию
— причинно-следственную связь между убытками и действиями контрагента.
Два последних пункта я сейчас не буду разбирать в рамках данной консультации (по ним тоже много проблемных моментов, в рамках данной консультации просто места не хватит), остановлюсь конкретно на первом.
Многие ошибочно полагают, что мол если мы передали информацию второй стороне, а завтра она ее опубликовала в СМИ, то мы можем спокойно идти в суд и взыскивать убытки.
Идти то Вы можете, вот только нужно будет доказать и сами убытки, и их точную сумму и самое главное представить конкретные доказательства их наличия и размера. Проблема в том, что абстрактные убытки в формате «с нами теперь меньше клиентов будут работать» никто взыскивать не будет. Суд не взыскивает абстрактные убытки даже в случае, если очевидно, что разглашение информации сильно ударило по Вам.

Убытки можно взыскать, например, в случае, когда Вы вели переговоры с клиентом о заключении договора условно на сумму 1 млн. руб. Далее нарушитель опубликовал конфиденциальную информацию и Ваш клиент передумал с Вами работать, прислав письмо в формате «я прочитал в интернете вот такую информацию о Вас (конфиденциальную, которая была незаконно разглашена) и из-за этого передумал с Вами работать» — здесь есть и размер убытков (1 млн. руб. по договору) и непосредственные доказательства того, что клиент передумал работать с Вами именно из-за публикации конфиденциальной информации (письмо от клиента) и тут есть шансы на взыскание убытков.

Если же клиент прямо не заявит, что он передумал работать с Вами из-за разглашения конфиденциальной информации, то суд Вам ничего не взыщет, так как всегда есть вариант, что клиент передумал по другим причинам. То есть суд работает всегда только с конкретными убытками, которые подтверждаются доказательствами и когда исключаются иные варианты развития событий.

(. ) Проблема со сложностью взыскания убытков решается довольно просто – мы не пишем в договоре всякие бестолковые формулировки про взыскание убытков, а пишем конкретные штрафы, которая сторона обязана оплатить за конкретные нарушения. Таким образом, мы сразу решаем 2 задачи:

а) Освобождаем себя от необходимости доказывания, что мы понесли убытки (если нарушение есть – нарушитель в любом случае получает штраф независимо от последствий нарушения для нас).

б) Освобождаем себя от необходимости доказывания размера убытков (а их размер как правило очень сложно точно определить).
При этом в плане определения размера штрафов тоже есть свои нюансы (вопрос определения их размера я здесь опускаю, хотя это тоже отдельная большая тема, на которую тоже есть своя судебная практика). Многие просто пишут, что мол «за разглашение конфиденциальной информации без согласия ее обладателя сторона обязуется оплатить штраф 1 млн. руб.» — это в целом неплохо, но надо понимать, что не все нарушения можно свести «к разглашению». Например, может быть ситуация, что обладатель конфиденциальной информации дал письменное разрешение на передачу информации третьему лицу, но сторона передала информации больше, чем было нужно – в такой ситуации далеко не факт, что Вы сможете взыскать данный штраф 1 млн. руб.

Я в своих NDA всегда расписываю отдельные штрафы за различные нарушения, в том числе рекомендую прописывать штрафы не только за разглашение без согласия, но и передачу информации по незащищенным каналам связи, за небрежное хранение конфиденциальной информации, за упоминание в СМИ фактов наличия у стороны конфиденциальной информации и т.д.

посыл-файлы по Интернету

Как безопасно отправлять конфиденциальную информацию и файлы

Используйте зашифрованные облачные платформы

Первый совет, который мы хотим дать, это использовать зашифрованные облачные платформы и гарантии. Сегодня мы можем использовать множество сервисов в сети, что позволяет нам делиться файлами с любым пользователем. По сути, они позволяют нам размещать папки и документы, чтобы потом делиться ими с другими пользователями.

Проблема в том, что не все платформы защищены, зашифрованы и, в конечном итоге, гарантируют конфиденциальность и безопасность. Мы можем столкнуться с услугами, которые могут подвергнуть риску эти файлы, которые могут быть отфильтрованы третьими лицами и повлиять на наши системы.

Поэтому мы советуем использовать платформы в облаке гарантий, которые правильно зашифрованы и надежны. В Интернете доступно множество сервисов, и, например, неплохо бы выяснить, какое шифрование они используют.

Услуги единой ссылки

Также интересно использовать платформы, которые позволяют отправлять файлы через одна ссылка и впоследствии удален. Таким образом, мы гарантируем, что как только файл достигнет получателя, он не сможет быть открыт другим пользователем. Еще один способ повысить безопасность и конфиденциальность, отправляя информацию онлайн.

Шифровать папки или файлы

Кроме того, если сервис, который мы используем, зашифрован или нет, удобно действовать самостоятельно. дополнительный защитный барьер это зашифровать папки или файлы, которые мы передадим. Это гарантирует, что только получатель может действительно прочитать это.

Факт шифрования файлов, в дополнение к шифрованию платформы, которую мы используем, сделает эти папки полностью защищенными.

Используйте VPN сервисы

Когда мы собираемся отправлять файлы или информацию по сети, мы должны учитывать, где мы подключены. Публичные сети Wi-Fi могут быть угрозой нашей безопасности. Наши данные могут утечь и иметь проблемы безопасности и конфиденциальности.

Чтобы избежать этих проблем, мы можем использовать VPN Сервисов , Эти инструменты делают шифрование нашего соединения. Наши данные проходят через своего рода туннель и не могут быть перехвачены третьими лицами. Таким образом, мы обеспечиваем конфиденциальность и не допускаем ошибок.

Мы имеем в своем распоряжении ряд инструментов этого типа. Некоторые платные, а другие бесплатные, хотя вы должны убедиться, что выбрали тот, который гарантирован. Они доступны для всех типов операционных систем и устройств.


У нас есть интересный вариант - использовать менеджер ключей. Некоторые, такие как LastPass или Dashlane, позволяют нам обмениваться паролями с другими пользователями. Конечно, другой человек также должен иметь учетную запись в этой службе.

Менеджеры паролей очень полезны для управления ключами, но мы также можем создавать действительно надежные и безопасные пароли и, как мы видели, делиться ими с другими пользователями.

Вкратце, это те варианты и советы, которые мы можем дать для отправки конфиденциальной информации через Интернет. Ряд рекомендаций, которые мы должны учитывать для этого.

Как удержать в контролируемой зоне информацию, записанную на флешку

В любой организации сотрудники делятся на две жестко противопоставленные группы: тех, кто считает, что флешки – это хорошо, и тех, кто считает, что флешки – это плохо. Для первых флешки – это удобство, экономия времени, сил и места, а для вторых – источник заражения систем вредоносным ПО и неизбежных утечек. Первых обычно больше, но ко вторым обычно относятся владельцы бизнеса. Действительно, применение флешек на предприятии больше выгодно сотрудникам, чем владельцу предприятия, а неприятностей от него больше у владельцев, чем у пользователей. Однако у владельцев систем гораздо больше и возможностей по внедрению в систему средств обеспечения ИБ. Почему же тогда задача защищенной работы с USB-флешками в организации до сих пор не была решена?


Светлана Конявская
заместитель генерального директора ОКБ САПР

Цель принятия различных мер по защите информации – не продублировать функции охраны на входе в здание, а обеспечить такой режим, при котором доступом к информации будет управлять именно владелец. Чтобы обеспечить такой режим, нужно знать, кто владелец. Так же и с любой другой собственностью – защитить интересы собственника можно только в том случае, если известно, кто собственник. Защита интересов владельца – это защита его приоритетного положения по отношению к своей собственности.

Защита неравенства

Владелец системы должен определять, кто и как может применять свое служебное устройство:

  • кто может использовать флешку;
  • какую именно флешку сотрудник может использовать;
  • на каких именно компьютерах данный сотрудник может использовать данную флешку.

При этом за пределами ИС служебную флешку нельзя использовать.

И вот тут нужно задать себе вопрос, что означает "за пределами ИС". До сих пор если этот вопрос и задавался, то ответом в лучшем случае было "флешки нельзя выносить с работы". Но ведь достаточно очевидно, что границы ИС и границы помещения связаны мало. Если я переношу флешку из одного офиса компании в другой – я выношу ее за пределы ИС? А как отличается случай выноса из здания в другой офис компании от выноса из здания в офис другой компании? Даже на уровне фраз различить сложно.

Значит, должно быть нельзя не вынести на улицу, а использовать на чужих ПК.

Невозможно что-то запретить на тех компьютерах, которые мы не контролируем? Это не так. Именно такую возможность предоставляет система на основе защищенного носителя информации "Секрет". Эта система лишена недостатков, присущих принятым ранее способам работы с флешками в организациях.

Основные ошибки тех, кто пытается защищать флешки

Если обобщить, то существует две проблемы для владельца системы: на флешке можно унести то, что не следует уносить, и на ней можно принести то, что не следует приносить. Для обеих проблем разработчики средств защиты информации предлагают свои решения.

Решения эти различны по качеству и лежащим в основе принципам, однако хуже другое – ни одно из них не обеспечивает возможности комфортной и в то же время безопасной работы в организации с USB-памятью.

Если флешки выдаются сотруднику на работе, то, как и все средства вычислительной техники, принадлежат они владельцу ИС. Если же сотрудники покупают флешки сами, то им они и принадлежат.
Однако система защиты должна обеспечивать возможность распоряжаться доступом к ресурсу именно его владельцу, а это значит, что владелец должен быть один у всех ресурсов, формирующих систему, иначе сомнительны основания для ограничения доступа к спорным ресурсам. Ведь модель угроз, необходимая для построения корректной системы защиты (не только информации), напрямую зависит от того, где проходят баррикады и кто по какую сторону от них.
Итак, в служебной системе должны функционировать служебные, а не личные флешки. Но что вообще обозначает "владелец" по отношению к USB-памяти? Человек знает, что флешка "его", для флешки же все люди одинаковы. Фактический владелец флешки – тот, кто подключает ее к компьютеру. Обыкновенные USB-флешки по природе своей ничьи. А ничье невозможно защитить.

Так или иначе решения по предотвращению утечек через USB-накопители состоят в снабжении флешек механизмами аутентификации пользователя и в предоставлении возможности запрещать использование в ИС таких устройств в принципе, или разрешать использование только устройств с теми или иными уникальными идентификаторами.

В лучшем случае это дополняется возможностью настройки правил разграничения доступа таким образом, чтобы пользоваться определенными флешками можно было только определенным пользователям и записывать на них не что угодно, а только определенные файлы.

Все это скорее осложняет жизнь пользователям и администраторам, чем создает действительно защищенную и в то же время удобную инфраструктуру использования USB-памяти. Просто эти решения направлены не на то, в чем состоят проблемы.

Главная проблема с флешками состоит не в том, как они применяются внутри системы, и не в том, как они применяются снаружи, а в том, что для флешек не существует разницы между понятиями "внутри" и "снаружи", и свободно пересекая границы системы, они размывают ее защищенный контур. На разрешенной к использованию флешке тоже можно перенести то, что не следует, туда, куда не следует, так как флешка от системы не зависит.

Метод защиты от утечек через USB-носители путем ограничения их использования на защищаемых ПК принципиально ущербен, ведь применение флешек на посторонних ПК при этом никак не ограничивается.

Необходимо, наоборот, сделать невозможным использование флешек вне системы, сделать их зависимыми от нее.

Материализация нематериальных сущностей

Никакой реальной связи между владельцем и его собственностью, как правило, нет. Эта связь носит социальный – правовой, моральный и т.д. – характер. Мы можем установить, что человек является собственником, по признакам, не связанным физически ни с владельцем, ни с имуществом, – по документам на собственность, например. Даже детальное изучение человека не позволяет заключить, его ли та или иная вещь, и изучение вещи тоже не укажет на ее владельца.

Именно поэтому мы с детства стараемся "пометить" особенно дорогие нам вещи – поцарапать, приклеить наклейку, написать свою фамилию, нанести логотип. "Привязать" к себе свою собственность. Это дает возможность различить свое и чужое, но, к сожалению, никак не ограничивает возможности "самозванца" безосновательно распоряжаться чужим имуществом в личных целях.

Защита приоритетного права владельца распоряжаться своей собственностью – задача тем более непростая, когда непосредственные действия по использованию предмета собственности должны осуществлять совсем другие лица, интересы которых, возможно, и не противопоставлены интересам владельца, но и не прямо совпадают с ними. В этом случае задачей защиты интересов владельца будет обеспечение режима, когда он способен контролировать, кем и для чего используется его собственность.

Примерно такую задачу решает банк-эмитент, эмитируя банковские карты. Банковская карта является собственностью банка, одним из технических средств, инструментов функционирования его системы, однако использует ее совсем другой человек. Основанием эмиссии карты является договор, правовые отношения между банком и клиентом, однако эмиссия делает эти отношения материальными, технологически связывая банк, карту и держателя карты (владельца счета). Карта привязана не к зданию банка, а к самому банку, потому что является его порожденной частью, элементом его системы. А из здания ее можно выносить, пожалуйста.

Именно такой механизм мы заложили в основу системы "Секрет" – в систему управления специальными служебными USB-носителями.

Храните данные в "Секрете"!

Решение, предназначенное для корпоративного использования, – "Секрет фирмы" – состоит из служебных носителей (СН) "Секрет", ПО для рабочих станций ("Секретный агент") и ПО для сервера аутентификации ("Центр управления").

СН "Секрет" – это USB-устройство, предназначенное для хранения в его внутренней памяти информации ограниченного доступа, в том числе ключевой информации и персональных данных. "Секреты" выдаются пользователям и применяются ими на тех рабочих станциях, на которых:

  • установлено ПО "Секретный агент";
  • разрешено работать с данным конкретным "Секретом".

Настройки, в том числе назначения, на каких ПК можно работать с какими "Секретами", задаются на сервере аутентификации (СА), на котором установлено ПО "Центр управления". Именно СА на основании обмена данными с "Секретом" принимает решение о доступе, а рабочая станция только передает данные от "Секрета" на сервер. Пользователь получает доступ к содержимому "Секрета" в том случае, если рабочая станция опознала "Секрет" как разрешенный для работы на ней, пользователь ввел верный PIN-код, подтвердив свое право использовать "Секрет", и СА подтвердил права пользователя и "Секрета".

Кто хозяин? Эмиссия "Секретов"

Хорошо понятно, что такая система должна быть явным образом привязана к эксплуатирующей ее организации. Если, пусть даже и только по предварительному сговору, было бы можно раскрывать "Секреты" одной организации в системе другой, тоже применяющей эту технологию, смысл защиты свелся бы на нет.

Аутентификация "Секрета" на СА производится на основании специального протокола с применением криптографических ключей. Эти ключи и являются той самой технологической привязкой, по которой сервер аутентификации отличает свой "Секрет" от "Секрета" другой фирмы. Для этого служебные носители "Секрет", применяемые в ИС, эмитируются в этой же системе на АРМ эмиссии, ПО которого входит в состав "Секрета фирмы". Эта технология исключает, что кто-либо, даже производитель "Секретов", сможет выпустить носитель, подходящий для использования в чужой системе. Нейтральные при покупке носители с помощью специальной защищенной процедуры эмитируются как элементы именно той системы, для которой они приобретены.

Система "Секрет" состоит из самих служебных носителей (СН) – специальных USB-флешек – и ПО, устанавливаемого на компьютеры для управления этими служебными носителями. "Секрет" обеспечивает такой режим работы, при котором данные, хранящиеся на СН, могут обрабатываться только легальными пользователями (после введения PIN-кода) и только на разрешенных компьютерах. При этом использование всех других флешек в системе может быть запрещено.
При подключении "Секрета" к любому компьютеру, кроме разрешенных, пользователю даже не будет предложено ввести PIN-код, устройство вообще не будет обнаружено компьютером как устройство типа mass-storage. Для пользователя это будет выглядеть как неисправное устройство, или устройство неподдерживаемого этим ПК типа.

Таким образом, легальные пользователи могут использовать служебные носители на разрешенных компьютерах без ограничений функциональности обыкновенной флешки – только с введением PIN-кода, но ни они, ни кто-либо другой, случайно или намеренно завладевший "Секретом", не сможет раскрыть его ни на одном другом компьютере, даже в системе, в которой тоже используется "Секрет" и установлено необходимое для его применения ПО.

Применение системы "Секрет" не решает всех задач защиты информации в организации, важно это хорошо понимать. Однако это обеспечивает режим, при котором исключен вынос из системы информации, записанной на служебные носители этой системы. Служебный носитель – это часть именно той системы, в которой он эмитирован. И это принципиально.


В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

  • фамилия, имя, отчество;
  • место, дата рождения;
  • место постоянной или временной регистрации;
  • фотография или видеозапись человека, позволяющие идентифицировать человека;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях, или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
  • биометрические данные.

Также существует классификация персональных данных. Их подразделяют на:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

Немного подробнее по каждой категории.

Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.

Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят , передают и уничтожают .

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее .

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

  • сбор;
  • передача;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

В свою очередь, обработка может осуществляться тремя путями:

  • Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив .

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

  • обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации .
  • обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации .
  • неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс .

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

  • Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  • Отвечать на обращения субъектов и предоставлять им всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
  • Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

  • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
  • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
  • обработка персональных данных, находящимся в открытом доступе;
  • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
  • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса . Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Читайте также: