SlideShare uma empresa Scribd logo
1 de 102
Baixar para ler offline
Увольнение за разглашение
охраняемой законом тайны.
Практические аспекты
Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave
2
Прозоров Андрей, CISM
Руководитель экспертного направления
Solar Security
Опыт в ИБ: 9 лет
Рабочие группы по ИБ: Совет Федерации,
Государственная Дума РФ, Совет Безопасности РФ, ФСТЭК
России, ЦБ РФ, Минздрав России, АРПП
Членство в ассоциациях ИБ: АРСИБ, ISACA, BISA, RISC
Преподаю курсы по ИБ: АНХ при Правительстве РФ,
Академия Информационных Систем, УЦ НПО Сапфир
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
3
Я не юрист!!!
Но есть практический опыт по ряду вопросов
(построение режима КТ, выполнение
требований по ПДн, судебная практика по
вопросам увольнения за разглашение
охраняемой законом тайны, участие в рабочих
группах по разработке законов и других НПА…)
Широкий кругозор и наличие здравого смысла…
• А зачем все это надо?
• Краткое содержание ТК РФ
• 6 типовых ошибок при
увольнении (подробно)
• Вспомним про УК РФ
4
Краткое содержание курса
К сожалению, будет
много текстовых слайдов.
Тема обязывает…
5
1. Полезно знать специалистам по ИБ,
юристам, сотрудникам отдела
персонала
2. Инциденты (разглашение охраняемой
законом тайны) случаются регулярно
3. Увольнения по соответствующей статье
происходят все чаще и чаще…
4. Работодатели предпочитают
преследовать по ТК РФ, а не по УК РФ
5. Уже много судебной практики (победы и
работников и работодателей)
6
Почему тема актуальна?
7
Почему тема проблемная?
Корпоративные юристы
(и сотрудники отдела персонала) обычно
слабо разбираются в особенностях
законодательства по ИБ.
Аналогично и специалисты по ИБ редко
понимают юридические риски и саму
процедуру увольнения работников.
Кстати, судебную практику по теме найти не просто…
8
9
Попробуем разобраться…
10
Целями трудового законодательства
являются установление государственных
гарантий трудовых прав и свобод
граждан, создание благоприятных
условий труда, защита прав и интересов
работников и работодателей.
11
ТК РФ
12
Статья 21. Основные права и обязанности работника
Работник обязан:
• добросовестно исполнять свои трудовые обязанности, возложенные на него
трудовым договором;
• соблюдать правила внутреннего трудового распорядка;
• …
Статья 22. Основные права и обязанности работодателя
Работодатель имеет право:
• …
• требовать от работников исполнения ими трудовых обязанностей и
бережного отношения к имуществу работодателя (в том числе к имуществу
третьих лиц, находящемуся у работодателя, если работодатель несет
ответственность за сохранность этого имущества) и других работников,
соблюдения правил внутреннего трудового распорядка;
• принимать локальные нормативные акты
• …
13
Основания для прекращения ТД
ТК РФ Статья 77. Общие основания прекращения трудового договора
Основаниями прекращения трудового договора являются:
1) соглашение сторон;
2) истечение срока трудового договора, за исключением случаев, когда
трудовые отношения фактически продолжаются и ни одна из сторон не
потребовала их прекращения;
3) расторжение трудового договора по инициативе работника;
4) расторжение трудового договора по инициативе работодателя;
…
9) отказ работника от перевода на работу в другую местность вместе с
работодателем;
…
Статья 81. Расторжение трудового договора по инициативе
работодателя
3) несоответствия работника занимаемой должности или выполняемой
работе вследствие недостаточной квалификации, подтвержденной
результатами аттестации;
…
5) неоднократного неисполнения работником без уважительных причин
трудовых обязанностей, если он имеет дисциплинарное взыскание;
…
11) представления работником работодателю подложных документов
при заключении трудового договора;
14
«Полезные» основания для
увольнения работников (ТК РФ)
6) однократного грубого нарушения работником трудовых обязанностей:
а) прогула, то есть отсутствия на рабочем месте без уважительных причин в течение всего
рабочего дня (смены), независимо от его (ее) продолжительности, а также в случае
отсутствия на рабочем месте без уважительных причин более четырех часов подряд в
течение рабочего дня (смены);
б) появления работника на работе (на своем рабочем месте либо на территории
организации - работодателя или объекта, где по поручению работодателя работник должен
выполнять трудовую функцию) в состоянии алкогольного, наркотического или иного
токсического опьянения;
в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и
иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в
том числе разглашения персональных данных другого работника;
г) совершения по месту работы хищения (в том числе мелкого) чужого имущества,
растраты, умышленного его уничтожения или повреждения, установленных вступившим в
законную силу приговором суда или постановлением судьи, органа, должностного лица,
уполномоченных рассматривать дела об административных правонарушениях;
д) установленного комиссией по охране труда или уполномоченным по охране труда
нарушения работником требований охраны труда, если это нарушение повлекло за собой
тяжкие последствия (несчастный случай на производстве, авария, катастрофа) либо
заведомо создавало реальную угрозу наступления таких последствий;
15
«Полезные» основания для
увольнения работников (ТК РФ)
16
Опытный специалист отдела
персонала всегда найдет
основание для увольнения…
17
По инициативе
работника
По соглашению
сторон
По инициативе
работодателя
Основание ТК РФ ст.80 ТК РФ ст.78 ТК РФ ст.81
За разглашение – ст.81 п.6 в)
Мотив
компании
Без сложностей расстаться
с нелояльным сотрудником
Расстаться с
работником,
минимизировать
возможные риски
Наказать, создать прецедент
для других работников
Ограничение
по срокам
Минимальное (2 недели),
но работник может
отозвать заявление
Нет Не позднее 6 месяцев со дня
совершения проступка,
Не позднее 1 месяца со дня
обнаружения
Обида
сотрудника
Обычно нет, если
увольнение без
принуждения
Обычно нет, при
хороших условиях
соглашения
Обычно да
Желание
оспорить в
суде
Возможно, если было
принуждение к
увольнению
Обычно желания нет.
Суд на стороне
работодателя
Да, особенно если есть
сильные аргументы (ошибки
при увольнении,
принуждение, оговор)
Что другие
работники
думают?
«Компания не хочет
проблем»
«За сотрудником сила,
компания не хочет
проблем»
«За компанией сила, могут
наказать»
18
Хитрые обиженные работники могут
сказать…
«На меня было оказано
давление. Написал заявление об
увольнении не по собственному
желанию, а по принуждению»
19
Предложение работнику написать заявление об увольнении
по собственному желанию может быть признано
принуждением к увольнению.
К заявлению работника о расторжении трудового договора
предъявляются следующие требования:
• добровольность
• определенность
• соблюдение установленной формы
20
Дисциплинарные взыскания
«За совершение дисциплинарного проступка, то есть неисполнение или
ненадлежащее исполнение работником по его вине возложенных на него
трудовых обязанностей, работодатель имеет право применить
следующие дисциплинарные взыскания:
1. замечание;
2. выговор;
3. увольнение по соответствующим основаниям.»
Важно по ТК РФ ст.192-193:
• 1 дисциплинарный проступок – 1 дисциплинарное взыскание
• Не позднее 6 месяцев со дня совершения проступка
• Не позднее 1 месяца со дня обнаружения проступка
• Необходимо запросить от работника письменное объяснение
ТК РФ ст.238-250
• Работник обязан возместить работодателю причиненный
ему прямой действительный ущерб. Неполученные
доходы (упущенная выгода) взысканию с работника не
подлежат.
• Работник несет материальную ответственность в
пределах своего среднего месячного заработка. Если
больше, то нужно судебное решение.
21
Мат. ответственность по ТК РФ
Статья 81. Расторжение трудового договора по инициативе
работодателя
Трудовой договор может быть расторгнут работодателем в случаях:
6) однократного грубого нарушения работником трудовых
обязанностей:
в) разглашения охраняемой законом тайны (государственной,
коммерческой, служебной и иной), ставшей известной работнику в
связи с исполнением им трудовых обязанностей, в том числе
разглашения персональных данных другого работника
22
23
Отдел
персонала
Отдел
ИБ
Юристы
Увольнение по ст.81 п.6 в)
необходимо производить
согласованно и при
одобрении руководства
Шаг 1. Компания увольняет
работника «по статье» 81 п.6 в)
Шаг 2. Работник обижается и
подает в суд исковое заявление
Шаг 3. ??? выигрывает суд(-ы)
24
Типовой сценарий
• Все молодцы! Может даже премию дадут…
• Полезный прецедент на работе
• Повышение авторитета руководства, ИБ,
HR, юристов
25
Если выигрывает работодатель
• Взыскание среднего заработка за время вынужденного
прогула
• Компенсация морального вреда (редко и мало)
• Потраченное зря время сотрудников ИБ, HR, юристов
• Снижение авторитета руководства, ИБ, HR, юристов
• Новые риски при восстановлении обиженного работника
• Репутационные риски компании
26
Если выигрывает работник
27
Мы изучили, обобщили и
выделили главное из судебной
практики по теме...
1. Нарушение процедуры увольнения
2. Отсутствие факта разглашения
3. Отсутствие режима защиты информации
(особенно КТ)
4. Нарушение конституционных прав
работников при сборе доказательной базы
5. «Детективные игры»
6. Слабая аргументация для Суда
28
Все типовые ошибки
29
Ошибка №1
Нарушение процедуры
увольнения
Статья 193. Порядок применения дисциплинарных взысканий
До применения дисциплинарного взыскания работодатель должен затребовать от работника
письменное объяснение. Если по истечении двух рабочих дней указанное объяснение
работником не предоставлено, то составляется соответствующий акт.
Непредоставление работником объяснения не является препятствием для применения
дисциплинарного взыскания.
Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения
проступка, не считая времени болезни работника, пребывания его в отпуске, а также
времени, необходимого на учет мнения представительного органа работников.
Дисциплинарное взыскание не может быть применено позднее шести месяцев со дня
совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной
деятельности или аудиторской проверки - позднее двух лет со дня его совершения. В
указанные сроки не включается время производства по уголовному делу.
За каждый дисциплинарный проступок может быть применено только одно дисциплинарное
взыскание.
Приказ (распоряжение) работодателя о применении дисциплинарного взыскания
объявляется работнику под роспись в течение трех рабочих дней со дня его издания, не
считая времени отсутствия работника на работе. Если работник отказывается ознакомиться с
указанным приказом (распоряжением) под роспись, то составляется соответствующий акт.
Дисциплинарное взыскание может быть обжаловано работником в государственную
инспекцию труда и (или) органы по рассмотрению индивидуальных трудовых споров.
30
• Не позднее 1 месяца со дня
обнаружения проступка
• Не позднее 6 месяцев со дня
совершения проступка
31
Важно успеть в срок
32
Важно получить (запросить)
письменное объяснение!!!
«Лучшая защита - это
нападение, поэтому
вместо "объяснительной"
всегда пиши "докладную"»

33
Иногда работники идут по этому пути
34
«Идеальная» процедура увольнения
№ Шаги Ключевое
подразделение
Документы
1. Обнаружение инцидента, сбор
дополнительной информации
ИБ Краткий отчет об инциденте,
Служебная записка
2. Обсуждение возможных
вариантов реагирования
Руководство и
HR
Приказ о проведении служебного
расследования (о создании
Комиссии)
3. Запрос объяснительной
записки от работника
(желательно под роспись)
HR Объяснительная записка / Акт об
отказе
4. Заседание Комиссии
(хорошей практикой является
заседание 2х комиссий: по
расследованию и по кадровым
вопросам)
HR, ИБ Протокол(-ы) заседания комиссии
(краткое описание инцидента,
оценка тяжести проступка,
обстоятельства дела, величина
ущерба, решение)
5. Принятие решения об
увольнении, издание
соответствующего приказа
HR, руководство Приказ о применении
дисциплинарного взыскания / Акт
об отказе ознакомления
• Не усложняйте! Решение о «виновности» работника и
«тяжести проступка» принимает Комиссия
• Решение об увольнении принимается Руководством на
основании протокола Комиссии
35
А что с доказательством вины?
36
Ошибка №2
Отсутствие факта разглашения
37
Конфиденциальность
информации - обязательное для
выполнения лицом, получившим
доступ к определенной
информации, требование не
передавать такую информацию
третьим лицам без согласия ее
обладателя.
149-ФЗ
38
Кража электронных
носителей и/или средств
обработки информации
Корпоративная эл.почта
Личная эл.почта
(с корп.устройств)
Сеть Интернет
Корпоративные
мессенджеры
Агент на ПК для облачных
хранилищ
Персональные мессенджеры
Предоставление
неправомерных
расширенных прав доступа к
ИС
Вынос бумажных
документов (твердые копии)
Фото и видео
Аудио (разговор)
Личная эл.почта
(с персональных устройств)
Внешние (съемные)
носители
Печать документов
Синхронизация мобильных
устройств
Просто доказать
Сложно доказать
Сложно выявить Просто выявить
Про каналы
утечки
39
Если не можете доказать
разглашение, то можете наказать за
нарушение правил внутреннего
трудового распорядка и правил
обработки (защиты) информации
ограниченного доступа
40
Ошибка №3
Отсутствие режима защиты
информации (особенно КТ)
41
Что надо знать и понимать?
149-ФЗ
об
информации,
ИТ и ЗИ
от 2006
152-ФЗ
о ПДн
от 2006
98-ФЗ
о КТ
от 2004
Указ 188
о перечне КИ
от 1997
+ отраслевые ФЗ, определяющие требования к защите
информации
Федеральный закон от 27.07.2006 N 149-ФЗ
«Об информации, информационных технологиях и о
защите информации»
1. Настоящий Федеральный закон регулирует отношения,
возникающие при:
1) осуществлении права на поиск, получение, передачу,
производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
2. Положения настоящего Федерального закона не
распространяются на отношения, возникающие при правовой
охране результатов интеллектуальной деятельности и
приравненных к ним средств индивидуализации, за исключением
случаев, предусмотренных настоящим Федеральным законом.
42
149-ФЗ
1. Обладателем информации может быть гражданин (физическое лицо), юридическое
лицо, РФ, субъект РФ, муниципальное образование.
2. От имени РФ, субъекта РФ, муниципального образования правомочия обладателя
информации осуществляются соответственно государственными органами и органами
местного самоуправления в пределах их полномочий, установленных соответствующими
нормативными правовыми актами.
3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия
такого доступа;
2) использовать информацию, в том числе распространять ее, по своему усмотрению;
3) передавать информацию другим лицам по договору или на ином установленном
законом основании;
4) защищать установленными законом способами свои права в случае незаконного
получения информации или ее незаконного использования иными лицами;
5) осуществлять иные действия с информацией или разрешать осуществление таких
действий.
4. Обладатель информации при осуществлении своих прав обязан:
1) соблюдать права и законные интересы иных лиц;
2) принимать меры по защите информации;
3) ограничивать доступ к информации, если такая обязанность установлена федеральными
законами.
43
Статья 6. Обладатель информации
Статья 5 Информация как объект правовых отношений
2. Информация в зависимости от категории доступа к ней
подразделяется на общедоступную информацию, а также на
информацию, доступ к которой ограничен федеральными
законами (информация ограниченного доступа).
44
Термин ИОД
Статья 9. Ограничение доступа к информации
1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ
конституционного строя, нравственности, здоровья, прав и законных интересов других лиц,
обеспечения обороны страны и безопасности государства.
2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен
федеральными законами.
3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с
законодательством Российской Федерации о государственной тайне.
4. Федеральными законами устанавливаются условия отнесения информации к сведениям,
составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения
конфиденциальности такой информации, а также ответственность за ее разглашение.
5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных
обязанностей или организациями при осуществлении ими определенных видов деятельности
(профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами
возложены обязанности по соблюдению конфиденциальности такой информации.
6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в
соответствии с федеральными законами и (или) по решению суда.
7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей
профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица),
предоставившего такую информацию о себе.
8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной
жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую
информацию помимо воли гражданина (физического лица), если иное не предусмотрено
федеральными законами.
9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным
законом о персональных данных. 45
1. Защита информации представляет собой принятие правовых,
организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления,
распространения, а также от иных неправомерных действий в отношении такой
информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации
осуществляется путем установления требований о защите информации, а также
ответственности за нарушение законодательства Российской Федерации об
информации, информационных технологиях и о защите информации.
46
Статья 16. Защита информации (1)
4. Обладатель информации, оператор информационной системы в случаях, установленных
законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не
имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к
информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого
нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или
уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
7) нахождение на территории Российской Федерации баз данных информации, с использованием
которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление,
изменение), извлечение персональных данных граждан Российской Федерации.
5. Требования о защите информации, содержащейся в государственных информационных системах,
устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и
федеральным органом исполнительной власти, уполномоченным в области противодействия
техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и
эксплуатации государственных информационных систем используемые в целях защиты информации
методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств
защиты информации и осуществления отдельных видов деятельности в области защиты информации.
47
Статья 16. Защита информации (2)
Федеральный закон от 27.07.2006 N 152-ФЗ
«О персональных данных»
1) персональные данные - любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку персональных данных, а
также определяющие цели обработки персональных данных, состав
персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными данными,
включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных
48
152-ФЗ
Статья 19. Меры по обеспечению безопасности персональных данных при их
обработке
1. Оператор при обработке персональных данных обязан принимать необходимые правовые,
организационные и технические меры или обеспечивать их принятие для защиты персональных
данных от неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения персональных данных, а также от
иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных
системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных,
необходимых для выполнения требований к защите персональных данных, исполнение которых
обеспечивает установленные Правительством Российской Федерации уровни защищенности
персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств
защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных
данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием
мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной
системе персональных данных, а также обеспечением регистрации и учета всех действий,
совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и
уровня защищенности информационных систем персональных данных.
49
Федеральный закон от 29.07.2004 N 98-ФЗ
«О коммерческой тайне»
Статья 1. Цели и сфера действия настоящего Федерального закона
1. Настоящий Федеральный закон регулирует отношения,
связанные с установлением, изменением и прекращением
режима коммерческой тайны в отношении информации, которая
имеет действительную или потенциальную коммерческую
ценность в силу неизвестности ее третьим лицам.
2. Положения настоящего Федерального закона распространяются
на информацию, составляющую коммерческую тайну, независимо
от вида носителя, на котором она зафиксирована.
3. Положения настоящего Федерального закона не
распространяются на сведения, отнесенные в установленном
порядке к государственной тайне, в отношении которой
применяются положения законодательства Российской Федерации
о государственной тайне.
50
98-ФЗ
1) коммерческая тайна - режим конфиденциальности информации, позволяющий ее
обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать
неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить
иную коммерческую выгоду;
2) информация, составляющая коммерческую тайну, - сведения любого характера
(производственные, технические, экономические, организационные и другие), в том числе о
результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о
способах осуществления профессиональной деятельности, которые имеют действительную или
потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у
третьих лиц нет свободного доступа на законном основании и в отношении которых
обладателем таких сведений введен режим коммерческой тайны;
4) обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет
информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ
к этой информации и установило в отношении ее режим коммерческой тайны;
5) доступ к информации, составляющей коммерческую тайну, - ознакомление определенных
лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином
законном основании при условии сохранения конфиденциальности этой информации;
9) разглашение информации, составляющей коммерческую тайну, - действие или
бездействие, в результате которых информация, составляющая коммерческую тайну, в любой
возможной форме (устной, письменной, иной форме, в том числе с использованием
технических средств) становится известной третьим лицам без согласия обладателя такой
информации либо вопреки трудовому или гражданско-правовому договору. 51
Термины
Право на отнесение
информации к информации,
составляющей коммерческую
тайну, и на определение
перечня и состава такой
информации принадлежит
обладателю такой
информации
52
Статья 5. Сведения, которые не могут составлять коммерческую тайну
Режим коммерческой тайны не может быть установлен лицами, осуществляющими
предпринимательскую деятельность, в отношении следующих сведений:
1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт
внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие
государственные реестры;
2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия,
государственного учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-
эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах,
оказывающих негативное воздействие на обеспечение безопасного функционирования
производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об
охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о
наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за
совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или
муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об
их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда
граждан в деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена
иными федеральными законами.
53
НЕ могут составлять КТ
Статья 6.1. Права обладателя информации, составляющей коммерческую тайну
1. Права обладателя информации, составляющей коммерческую тайну, возникают с момента
установления им в отношении этой информации режима коммерческой тайны в соответствии со
статьей 10 настоящего Федерального закона.
2. Обладатель информации, составляющей коммерческую тайну, имеет право:
1) устанавливать, изменять, отменять в письменной форме режим коммерческой тайны в
соответствии с настоящим Федеральным законом и гражданско-правовым договором;
2) использовать информацию, составляющую коммерческую тайну, для собственных нужд в
порядке, не противоречащем законодательству Российской Федерации;
3) разрешать или запрещать доступ к информации, составляющей коммерческую тайну,
определять порядок и условия доступа к этой информации;
4) требовать от юридических лиц, физических лиц, получивших доступ к информации,
составляющей коммерческую тайну, органов государственной власти, иных государственных
органов, органов местного самоуправления, которым предоставлена информация, составляющая
коммерческую тайну, соблюдения обязанностей по охране ее конфиденциальности;
5) требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в
результате действий, совершенных случайно или по ошибке, охраны конфиденциальности этой
информации;
6) защищать в установленном законом порядке свои права в случае разглашения, незаконного
получения или незаконного использования третьими лицами информации, составляющей
коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с
нарушением его прав.
54
Права обладателя КТ
1. Меры по охране конфиденциальности информации, принимаемые ее
обладателем, должны включать в себя:
1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну,
путем установления порядка обращения с этой информацией и контроля за
соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую
тайну, и (или) лиц, которым такая информация была предоставлена или
передана;
4) регулирование отношений по использованию информации, составляющей
коммерческую тайну, работниками на основании трудовых договоров и
контрагентами на основании гражданско-правовых договоров;
5) нанесение на материальные носители, содержащие информацию,
составляющую коммерческую тайну, или включение в состав реквизитов
документов, содержащих такую информацию, грифа "Коммерческая тайна" с
указанием обладателя такой информации (для юридических лиц - полное
наименование и место нахождения, для индивидуальных предпринимателей
- фамилия, имя, отчество гражданина, являющегося индивидуальным
предпринимателем, и место жительства).
55
Меры по охране (ст.10)
Режим коммерческой тайны
считается установленным
после принятия
обладателем информации,
составляющей
коммерческую тайну,
указанных мер
56
Наряду с указанными мерами обладатель информации,
составляющей коммерческую тайну, вправе применять при
необходимости средства и методы технической защиты
конфиденциальности этой информации, другие не
противоречащие законодательству РФ меры.
5. Меры по охране конфиденциальности информации признаются
разумно достаточными, если:
1) исключается доступ к информации, составляющей
коммерческую тайну, любых лиц без согласия ее обладателя;
2) обеспечивается возможность использования информации,
составляющей коммерческую тайну, работниками и передачи ее
контрагентам без нарушения режима коммерческой тайны.
57
58
98-ФЗ: Возмещение убытков
3. В целях охраны конфиденциальности информации, составляющей
коммерческую тайну, работник обязан:
… 3) возместить причиненные работодателю убытки, если работник виновен в
разглашении информации, составляющей коммерческую тайну и ставшей ему
известной в связи с исполнением им трудовых обязанностей;
4. Работодатель вправе потребовать возмещения убытков, причиненных ему
разглашением информации, составляющей коммерческую тайну, от лица,
получившего доступ к этой информации в связи с исполнением трудовых
обязанностей, но прекратившего трудовые отношения с работодателем, если эта
информация разглашена в течение срока действия режима коммерческой тайны.
5. Причиненные работником или прекратившим трудовые отношения с
работодателем лицом убытки не возмещаются, если разглашение информации,
составляющей коммерческую тайну, произошло вследствие несоблюдения
работодателем мер по обеспечению режима коммерческой тайны, действий
третьих лиц или непреодолимой силы.
Ст.11
8. Работник имеет право обжаловать в
судебном порядке незаконное установление
режима коммерческой тайны в отношении
информации, к которой он получил доступ в
связи с исполнением трудовых обязанностей.
59
Указ Президента РФ от 06.03.1997 N 188 (ред. от
13.07.2015) «Об утверждении Перечня сведений
конфиденциального характера»
В целях дальнейшего совершенствования порядка
опубликования и вступления в силу актов Президента
Российской Федерации, Правительства Российской
Федерации и нормативных правовых актов федеральных
органов исполнительной власти постановляю: Утвердить
прилагаемый перечень сведений конфиденциального
характера.
60
Указ №188
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие
идентифицировать его личность (персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении
которых в соответствии с федеральными законами от 20 апреля 1995 г. N 45-ФЗ "О государственной
защите судей, должностных лиц правоохранительных и контролирующих органов" и от 20 августа 2004 г.
N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного
судопроизводства", другими нормативными правовыми актами РФ принято решение о применении мер
государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если
законодательством РФ такие сведения не отнесены к сведениям, составляющим государственную тайну.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с
Гражданским кодексом РФ и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии
с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна
переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так
далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с
Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной
публикации информации о них.
7. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном
исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые
являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ "Об
исполнительном производстве".
61
Перечень сведений конф.характера
Сведения, отнесенные к категории
ограниченного доступа
• В справке «Консультант +» определено
50 таких сведений
• Часто термины и границы определены
не явно, виды тайн «смешиваются»
62
«Виды тайн»
63
Тайна Основание Тайна Основание
Государственная
тайна
ФЗ №5485-1 ст.5
УП №1203
149-ФЗ ст.9 п.3
Персональные
данные
152-ФЗ
149-ФЗ ст.9 п.9
УП №188 п.1
Коммерческая тайна 98-ФЗ
149-ФЗ ст.9 п.4
УП №188 п.5
Секрет
производства
(ноу-хау)
ГК РФ IV ст.1465
УП №188 п.6
Профессиональная
тайна
149-ФЗ ст.9 п.4-7
УП №188 п.4
Врачебная тайна 323-ФЗ ст.13
УП №188 п.4
Банковская тайна
(тайна банковских
вкладов)
ФЗ №395-1 ст.26
ГК РФ II, ст. 857
Тайна кредитной
истории
218-ФЗ ст.6 и 7,
содержание
кр.истории – ст.4
Инсайдерская
информация
224-ФЗ Служебная тайна 149-ФЗ ст.9 п.4
УП №188 п.3
Тайна связи
(переписки,
переговоров…)
Конституция РФ
ст.23 п.2
126-ФЗ ст.63
176-ФЗ ст.15
УП №188 п.4
149-ФЗ ст.9 п.4-7
Личная и семейная
тайна
Конституция РФ
ст.23 п.1
ГК РФ ст.150 п.1
149-ФЗ ст.9 п.8
64
В случае оспаривания работником увольнения по подпункту "в"
пункта 6 части первой статьи 81 Кодекса работодатель
обязан представить доказательства, свидетельствующие о
том, что:
1. сведения, которые работник разгласил, в соответствии с
действующим законодательством относятся к
государственной, служебной, коммерческой или иной
охраняемой законом тайне либо к персональным данным
другого работника,
2. эти сведения стали известны работнику в связи с
исполнением им трудовых обязанностей
3. и он обязывался не разглашать такие сведения.
Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 28.09.2010)
"О применении судами Российской Федерации Трудового кодекса Российской Федерации"
• Отсутствие режима КТ (не все требования выполнены)
• Отсутствие перечня информации ограниченного доступа
или он не полный (детализация, кстати, не важна)
• Внесение в перечень сведений, которые не могут
составлять КТ
• Отсутствие документированных обязательств о
неразглашении
• Отсутствие документированных требований по обработке
и защите информации ограниченного доступа
• Отсутствие подтверждения ознакомления работников с
требованиями
• Отсутствие разграничения доступа к информации (все
имеют доступ ко всему)
65
Типовые ошибки
Перечень информации ограниченного доступа
(или аналоги) – важнейший документ!!!
Рекомендации по составу прочих
регламентирующих документов
по ИБ будут далее (в ошибке №6)…
66
67
Хитрые обиженные работники могут
сказать…
«А на разглашенных документах
не был проставлен гриф
конфиденциальности…»
Для Суда это не критично, если есть
документированные требования по
простановке грифа, и разглашенная
информация соответствует Перечню
информации ограниченного доступа.
Работник мог намерено не
проставить/убрать гриф…
68
69
Если режим КТ не установлен, а
информация была разглашена, то
посмотрите на ее состав. Возможно
получится доказать разглашение ПДн
(или другой тайны), а не КТ…
70
Хитрые обиженные работники могут
сказать…
«Не были ознакомлены ни с
перечнем информации
ограниченного доступа, ни с
правилами обработки и защиты»
Для Суда это не критично. Попробуйте
доказать, что все ознакамливаются
и/или корпоративная культура ИБ
предполагает такое ознакомление.
Могут быть вызваны свидетели
подтверждающие это.
Идеальный вариант: наличие подписи
работника в журнале ознакомления.
71
72
Ошибка №4
Нарушение конституционных
прав работников
73
Хитрые обиженные работники могут
спросить…
«А не нарушил ли работодатель
конституционные права
работника (на личную и
семейную тайну, на тайну
переписки) при сборе
доказательств разглашения?»
74
Все ОК, обычно не
нарушают…
(но см. ошибку №5)
75
Статья 23
1) Каждый имеет право на неприкосновенность
частной жизни, личную и семейную тайну,
защиту своей чести и доброго имени.
2) Каждый имеет право на тайну переписки,
телефонных переговоров, почтовых,
телеграфных и иных сообщений. Ограничение
этого права допускается только на основании
судебного решения.
76
Личная и семейная тайна
Конституция РФ (ст.23 п.1): «Каждый имеет право на
неприкосновенность частной жизни, личную и семейную
тайну, защиту своей чести и доброго имени.»
ГК РФ (ст.150 п.1): «Жизнь и здоровье, достоинство личности,
личная неприкосновенность, честь и доброе имя, деловая
репутация, неприкосновенность частной жизни,
неприкосновенность жилища, личная и семейная тайна,
свобода передвижения, свобода выбора места пребывания и
жительства, имя гражданина, авторство, иные
нематериальные блага, принадлежащие гражданину от
рождения или в силу закона, неотчуждаемы и
непередаваемы иным способом.»
77
Понятия «частная жизнь», «личная и семейная тайна» в явном виде не
определены…
Комментарий Консультант+:
Частная жизнь - это то времяпрепровождение, которое гражданин
осуществляет вне службы, вне производственной обстановки, а также вне
общественной жизни и общественного окружения. Она включает общение
между людьми на неформальной основе в сферах семейной жизни,
родственных, дружеских, товарищеских связей, интимных и других личных
отношений, привязанностей, симпатий и антипатий. Частная жизнь также
проявляется в состоянии здоровья лица (его физических и психических
недостатках и т.п.), образе его мыслей, отношении к религии, сексу, в
политическом и социальном мировоззрении, увлечениях, творчестве и т.п.
Некоторые ученые к сведениям "о личной и частной жизни" лица относят
также данные о совершении "нотариальных действий, записи актов
гражданского состояния, имущественном положении"
Выдержка из судебной практики:
Частная жизнь - это те стороны личной жизни человека, которые он в силу
своей свободы не желает делать достоянием других. Это - своеобразный
суверенитет личности, означающий неприкосновенность его среды обитания.
78
149-ФЗ Статья 9. Ограничение доступа к информации
8. Запрещается требовать от гражданина (физического лица) предоставления
информации о его частной жизни, в том числе информации, составляющей личную
или семейную тайну, и получать такую информацию помимо воли гражданина
(физического лица), если иное не предусмотрено федеральными законами.
ГК РФ Статья 152.2. Охрана частной жизни гражданина
1. Если иное прямо не предусмотрено законом, не допускаются без согласия
гражданина сбор, хранение, распространение и использование любой информации
о его частной жизни, в частности сведений о его происхождении, о месте его
пребывания или жительства, о личной и семейной жизни.
Не являются нарушением правил, установленных абзацем первым настоящего пункта,
сбор, хранение, распространение и использование информации о частной жизни
гражданина в государственных, общественных или иных публичных интересах, а
также в случаях, если информация о частной жизни гражданина ранее стала
общедоступной либо была раскрыта самим гражданином или по его воле.
2. Стороны обязательства не вправе разглашать ставшую известной им при
возникновении и (или) исполнении обязательства информацию о частной жизни
гражданина, являющегося стороной или третьим лицом в данном обязательстве, если
соглашением не предусмотрена возможность такого разглашения информации о
сторонах.
79
Тайна связи
Конституция РФ (ст.23 п.2): Каждый имеет право на тайну
переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщений. Ограничение этого права
допускается только на основании судебного решения.
Указ Президента РФ №188 "Об утверждении Перечня
сведений конфиденциального характера"
п.4. Сведения, связанные с профессиональной
деятельностью, доступ к которым ограничен в соответствии с
Конституцией Российской Федерации и федеральными
законами (врачебная, нотариальная, адвокатская тайна,
тайна переписки, телефонных переговоров, почтовых
отправлений, телеграфных или иных сообщений и так
далее).
80
О связи
126-ФЗ «О связи». Статья 63. Тайна связи
1. На территории Российской Федерации гарантируется тайна переписки, телефонных
переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых
по сетям электросвязи и сетям почтовой связи.
Ограничение права на тайну переписки, телефонных переговоров, почтовых
отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и
сетям почтовой связи, допускается только в случаях, предусмотренных федеральными
законами.
2. Операторы связи обязаны обеспечить соблюдение тайны связи.
176-ФЗ «О Почтовой связи». Статья 15. Тайна связи
Тайна переписки, почтовых, телеграфных и иных сообщений, входящих в сферу
деятельности операторов почтовой связи, гарантируется государством.
Осмотр и вскрытие почтовых отправлений, осмотр их вложений, а также иные
ограничения тайны связи допускаются только на основании судебного решения.
Все операторы почтовой связи обязаны обеспечивать соблюдение тайны связи.
Информация об адресных данных пользователей услуг почтовой связи, о почтовых
отправлениях, почтовых переводах денежных средств, телеграфных и иных
сообщениях, входящих в сферу деятельности операторов почтовой связи, а также
сами эти почтовые отправления, переводимые денежные средства, телеграфные и
иные сообщения являются тайной связи и могут выдаваться только отправителям
(адресатам) или их представителям.
81
Термин «тайна связи» определен лишь в 176-ФЗ «О почтовой
связи», что уже интересно…
Тайна связи - тайна переписки, почтовых, телеграфных
и иных сообщений, входящих в сферу деятельности
операторов почтовой связи, не подлежащая
разглашению без согласия пользователя услуг почтовой
связи.
Термин «оператор связи» определен в 126-ФЗ
Оператор связи - юридическое лицо или индивидуальный
предприниматель, оказывающие услуги связи на
основании соответствующей лицензии.
82
Регуляторы рекомендуют
(обязывают) использовать
средства мониторинга и контроля.
Например, для защиты ПДн и
информации, обрабатываемой в
государственных ИС.
83
Требования и рекомендации
ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ,
ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ
ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ
ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Контроль содержания информации, передаваемой из информационной системы, должен предусматривать:
• выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы
сетевых соединений, включая сети связи общего пользования, и реагирование на них;
• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители
информации и реагирование на них;
• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и
реагирование на них;
• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из
буфера обмена и реагирование на них;
• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота,
базы данных, почтовые архивы и иные ресурсы).
Требования к усилению
• в информационной системе должно осуществляться хранение всей передаваемой из информационной системы
информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение
времени, определяемого оператором;
• в информационной системе должна осуществляться блокировка передачи из информационной системы информации с
недопустимым содержанием
Методический документ. Меры защиты информации в государственных ИС
Не будем вдаваться в тему,
сразу перейдем к стратегии
аргументации работодателя,
которую полезно понимать…
84
1. Работодатель, как обладатель (владелец) информации, информационных
систем и сервисов, обладает правом предъявлять требования по их
использованию и контролировать их выполнение. В организации определен
Перечень информации ограниченного доступа, Правила работы с
информацией ограниченного доступа, Политика допустимого
использования (средств обработки и ИТ-сервисов). В частности, в явном
виде запрещена передача информации ограниченного доступа с
использованием персональных средств и систем (например, личной
электронной почты или мессенджеров, не утвержденных в организации).
2. Работникам в явном виде запрещено хранить личную информацию на
корпоративных ресурсах (рабочие станции и файловые хранилища) и
передавать ее по корпоративным каналам связи (эл.почта и сеть Интернет).
3. Работники уведомлены, что правила использования корпоративной
информации и информационных ресурсов регулярно контролируются с
использованием средств мониторинга.
4. Работодатель не является оператором связи, не предоставляет такого рода
услуги и не обеспечивает тайну связи для передачи информации по своим
корпоративным каналам. О возможности мониторинга и контроля
корпоративной переписки известно работникам (см.п 3). 85
Стратегия работодателя
5. У работодателя отсутствует умысел нарушения тайны частной жизни.
Предполагается, что на контролируемых ресурсах таких данных нет.
6. Если личная информация будет обнаружена на корпоративных ресурсах, то
она будет удалена, а к работнику могут применяться дисциплинарные
взыскания за нарушение правил внутреннего трудового распорядка.
7. Обнаруженная личная информация не будет использована (по крайней
мере официально) при принятии решений.
8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников.
Содержание информации, хранимой в личных сервисах передачи данных
(например, внешняя эл.почта) не проверяется даже при получении такой
возможности (по крайней мере официально).
9. У работодателя отсутствует умысел нарушения тайны переписки при
контроле входящей почты. Работники уведомлены, что они обязаны
уведомить тех, с кем общаются, о недопустимости использовании
корпоративных сервисов для осуществления любых видов коммуникаций,
не связанных со служебной деятельностью.
10. Информация, обнаруженная во входящих сообщениях, не будет
использована (по крайней мере официально) при принятии решений. 86
Стратегия работодателя(продолжение)
87
Ошибка №5
«Детективные игры»
• Взлом личной электронной почты, аккаунтов в
соц.сетях и др.
• Скрытая аудио и видео съемка
• Личный обыск, изъятие персональных средств
обработки и хранения информации
• «Выбивание» признания
• Принуждение свидетелей
88
Иногда работодателей «заносит» при
расследовании инцидентов…
Не рекомендуем!!!
Изучите:
• Закон № 144-ФЗ «Об оперативно-розыскной деятельности»
• Закон № 2487-1 «О частной детективной и охранной
деятельности в Российской Федерации»
• «Уголовно-процессуальный кодекс Российской Федерации»
(УПК РФ)
И взаимодействуйте с:
89
Но если совсем нужно, то
90
Ошибка №6
Слабая аргументация для Суда
• Понимайте свои сильные и слабые стороны
• Ведите хронологию события
• Соберите максимум документов
• Проинструктируйте и потренируйте свидетелей.
Должны знать хронологию события, порядок обработки и защиты
информации в организации
• Будьте готовы к вопросам про доказательство разглашения
информации («решение приняла Комиссия»), наличие
мотива у работника и величину ущерба («пока не определен,
но если посчитаем, то подадим на работника в суд»)
• Не рекомендуем врать и использовать
подложные документы…
91
Рекомендации для Суда
92
Документы для Суда
1. Локальные нормативные акты, связанные с
трудовой деятельностью работника
2. Документы про инцидент и по процедуре
увольнения
3. Документы про режим защиты информации
4. Прочее (для суда)
93
Документы для Суда (подробно)
1. Локальные нормативные акты, связанные с
трудовой деятельностью работника
• Трудовой договор
• Правила внутреннего трудового распорядка
• Должностная инструкция работника
• Положение о подразделении работника
• Доп.соглашения с работником (ПДн, КТ и пр.)
• Характеристика на работника (при наличии
"полезных" фактов в биографии)
94
Документы для Суда (подробно)
2. Документы про инцидент и по процедуре
увольнения
• Служебная записка и/или Отчет об инциденте
• Хронология событий
• Выгрузки отчетов из DLP и других средств
мониторинга и защиты
• Приказ о назначении комиссии по расследованию
инцидента
• Объяснительная работника / Акт об отказе
• Протоколы заседаний Комиссии
• Приказ об увольнении
95
Документы для Суда (подробно)
3. Документы про режим защиты информации
• Перечень информации ограниченного доступа
• Положения об обработке и защите информации ограниченного
доступа (ПДн, КТ и пр.)
• Перечень лиц, допущенных к обработке
• Документы, содержащие положения и процедуры по ИБ: общая
политика ИБ, парольная защита, контроль доступа, допустимое
использование ИС и сервисов, мониторинг и контроль, управление
инцидентами и пр.
• Выписка из Модели угроз и Модели нарушителя
• ТЗ на систему защиты
• Справка о DLP системы (функционал и сертификаты)
• Положение о подразделении ИБ и должностные инструкции
• Отчеты об аудитах и проверках ИБ, аттестаты соответствия
• Отчеты и планы по обучению/инструктажу работников
• Перечень документов по ИБ, с которыми ознакамливаются работники
• Копии журналов ознакомления с документами и обучения работников
по вопросам ИБ
96
Документы для Суда (подробно)
4. Прочее (для Суда)
• Исковое заявление
• Возражение ответчика (на исковое заявление)
• Перечень предоставленных документов
1. Нарушение процедуры увольнения
2. Отсутствие факта разглашения
3. Отсутствие режима защиты информации
(особенно КТ)
4. Нарушение конституционных прав
работников при сборе доказательной базы
5. «Детективные игры»
6. Слабая аргументация для Суда
97
Все типовые ошибки
98
А если наказание по УК РФ?
99
Наказание по ТК РФ Наказание по УК РФ
Мотив работодателя Хотим наказать быстро и
просто, нужен прецедент
Хотим сильно наказать
(большой ущерб), нужен
громкий прецедент
Основание ТК РФ ст.81 УК РФ ст.183, 185.5
ст.159, 163
ст.272-274
Возмещение ущерба Обычно нет По решению суда, но надо
доказать величину ущерба
Трудозатраты Низкие Средние
Общая длительность До 1 месяца Может быть несколько лет
Процедура Простая, по ТК РФ Сложная, по УПК РФ
Взаимодействие с
правоохранительными
органами
Нет МВД России / ФСБ России
Сложность сбора
доказательной базы
Низкая, решение
принимает внутренняя
комиссия
Высокая, необходимо
соблюсти все формальные
процедуры
• Процедура взаимодействия с
правоохранительными органами
• Мотивация сотрудников правоохранительных
органов
• Процедуры сбора доказательной базы и гарантии
неизменности цифровых доказательств
• Оценка величины ущерба
• Доказательство вины, достаточность
доказательств
100
Сложности с преследованием по УК
• Это быстрее (и дешевле), «игра стоит свеч»
• Процедура проще
• Меньше риски проигрыша в суде
101
Обычно выбирают преследование
по ТК РФ, а не УК РФ
102
Спасибо за внимание!
Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
Моя почта: prozorov.info@gmail.com

Mais conteúdo relacionado

Mais procurados

пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты DlpMFISoft
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информацииSergey Borisov
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхAleksey Lukatskiy
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Mais procurados (17)

Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты Dlp
 
пр 4 юр.вопроса dlp
пр 4 юр.вопроса dlpпр 4 юр.вопроса dlp
пр 4 юр.вопроса dlp
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информации
 
GDPR intro
GDPR intro GDPR intro
GDPR intro
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗ
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 

Destaque

пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров   это не только Dlp (прозоров)пр защита от инсайдеров   это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Expolink
 
пр аналитика по утечкам информации (Data breach) часть 2 2014 04
пр аналитика по утечкам информации (Data breach) часть 2 2014 04пр аналитика по утечкам информации (Data breach) часть 2 2014 04
пр аналитика по утечкам информации (Data breach) часть 2 2014 04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Destaque (20)

пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 
пр Айсбер утечки информации
пр Айсбер утечки информации пр Айсбер утечки информации
пр Айсбер утечки информации
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 
1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09
 
2. мобильные сотрудники 2014 10-16
2. мобильные сотрудники 2014 10-162. мобильные сотрудники 2014 10-16
2. мобильные сотрудники 2014 10-16
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
 
пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров   это не только Dlp (прозоров)пр защита от инсайдеров   это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)
 
2. мобильные сотрудники 2014 09
2. мобильные сотрудники 2014 092. мобильные сотрудники 2014 09
2. мобильные сотрудники 2014 09
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
 
пр аналитика по утечкам информации (Data breach) часть 2 2014 04
пр аналитика по утечкам информации (Data breach) часть 2 2014 04пр аналитика по утечкам информации (Data breach) часть 2 2014 04
пр аналитика по утечкам информации (Data breach) часть 2 2014 04
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)
 

Semelhante a пр Увольнение за разглашение КТ

DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»InfoWatch
 
Изменения в порядке приема на работу: что должно быть в каждом трудовом договоре
Изменения в порядке приема на работу: что должно быть в каждом трудовом договореИзменения в порядке приема на работу: что должно быть в каждом трудовом договоре
Изменения в порядке приема на работу: что должно быть в каждом трудовом договореДиректор по персоналу & Кадровое Дело
 
Загрози для бізнесу: аспекти трудового і сімейного права
Загрози для бізнесу: аспекти трудового і сімейного праваЗагрози для бізнесу: аспекти трудового і сімейного права
Загрози для бізнесу: аспекти трудового і сімейного праваAsters
 
Управление правовыми рисками в ОАО " Сибур Холдинг"
Управление правовыми рисками в ОАО " Сибур Холдинг"Управление правовыми рисками в ОАО " Сибур Холдинг"
Управление правовыми рисками в ОАО " Сибур Холдинг"Infor-media
 
внутренни распорядок кд
внутренни распорядок кдвнутренни распорядок кд
внутренни распорядок кд609ya
 
Использование заёмного труда в России
Использование заёмного труда в РоссииИспользование заёмного труда в России
Использование заёмного труда в РоссииAwara Direct Search
 
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...DataArt
 
4 занятие юридического курса право на бизнес
4 занятие юридического курса право на бизнес4 занятие юридического курса право на бизнес
4 занятие юридического курса право на бизнесАня Моисеева
 
4 занятие юридического курса "Право на бизнес"
4 занятие юридического курса "Право на бизнес"4 занятие юридического курса "Право на бизнес"
4 занятие юридического курса "Право на бизнес"Business incubator HSE
 
Загрози для бізнесу: аспекти трудового і сімейного права
Загрози для бізнесу: аспекти трудового і сімейного праваЗагрози для бізнесу: аспекти трудового і сімейного права
Загрози для бізнесу: аспекти трудового і сімейного праваAsters
 
Организация работы по охране труда в ппо
Организация работы по охране труда  в ппоОрганизация работы по охране труда  в ппо
Организация работы по охране труда в ппоdbibl
 

Semelhante a пр Увольнение за разглашение КТ (20)

DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»
 
Оформление кадровых документов: для успешной судебной практики
Оформление кадровых документов: для успешной судебной практикиОформление кадровых документов: для успешной судебной практики
Оформление кадровых документов: для успешной судебной практики
 
Изменения в порядке приема на работу: что должно быть в каждом трудовом договоре
Изменения в порядке приема на работу: что должно быть в каждом трудовом договореИзменения в порядке приема на работу: что должно быть в каждом трудовом договоре
Изменения в порядке приема на работу: что должно быть в каждом трудовом договоре
 
Загрози для бізнесу: аспекти трудового і сімейного права
Загрози для бізнесу: аспекти трудового і сімейного праваЗагрози для бізнесу: аспекти трудового і сімейного права
Загрози для бізнесу: аспекти трудового і сімейного права
 
Материальная ответственность
Материальная ответственностьМатериальная ответственность
Материальная ответственность
 
Управление правовыми рисками в ОАО " Сибур Холдинг"
Управление правовыми рисками в ОАО " Сибур Холдинг"Управление правовыми рисками в ОАО " Сибур Холдинг"
Управление правовыми рисками в ОАО " Сибур Холдинг"
 
дв 36
дв 36дв 36
дв 36
 
внутренни распорядок кд
внутренни распорядок кдвнутренни распорядок кд
внутренни распорядок кд
 
мо
момо
мо
 
Использование заёмного труда в России
Использование заёмного труда в РоссииИспользование заёмного труда в России
Использование заёмного труда в России
 
5173
51735173
5173
 
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
 
4 занятие юридического курса право на бизнес
4 занятие юридического курса право на бизнес4 занятие юридического курса право на бизнес
4 занятие юридического курса право на бизнес
 
4 занятие юридического курса "Право на бизнес"
4 занятие юридического курса "Право на бизнес"4 занятие юридического курса "Право на бизнес"
4 занятие юридического курса "Право на бизнес"
 
занятие № 4 право на бизнес
занятие № 4 право на бизнесзанятие № 4 право на бизнес
занятие № 4 право на бизнес
 
BiOT.pptx
BiOT.pptxBiOT.pptx
BiOT.pptx
 
BiOT.pptx
BiOT.pptxBiOT.pptx
BiOT.pptx
 
Загрози для бізнесу: аспекти трудового і сімейного права
Загрози для бізнесу: аспекти трудового і сімейного праваЗагрози для бізнесу: аспекти трудового і сімейного права
Загрози для бізнесу: аспекти трудового і сімейного права
 
Организация работы по охране труда в ппо
Организация работы по охране труда  в ппоОрганизация работы по охране труда  в ппо
Организация работы по охране труда в ппо
 
нюансы тд
нюансы тднюансы тд
нюансы тд
 

Mais de Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Mais de Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр Увольнение за разглашение КТ

  • 1. Увольнение за разглашение охраняемой законом тайны. Практические аспекты Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave
  • 2. 2 Прозоров Андрей, CISM Руководитель экспертного направления Solar Security Опыт в ИБ: 9 лет Рабочие группы по ИБ: Совет Федерации, Государственная Дума РФ, Совет Безопасности РФ, ФСТЭК России, ЦБ РФ, Минздрав России, АРПП Членство в ассоциациях ИБ: АРСИБ, ISACA, BISA, RISC Преподаю курсы по ИБ: АНХ при Правительстве РФ, Академия Информационных Систем, УЦ НПО Сапфир Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave
  • 3. 3 Я не юрист!!! Но есть практический опыт по ряду вопросов (построение режима КТ, выполнение требований по ПДн, судебная практика по вопросам увольнения за разглашение охраняемой законом тайны, участие в рабочих группах по разработке законов и других НПА…) Широкий кругозор и наличие здравого смысла…
  • 4. • А зачем все это надо? • Краткое содержание ТК РФ • 6 типовых ошибок при увольнении (подробно) • Вспомним про УК РФ 4 Краткое содержание курса
  • 5. К сожалению, будет много текстовых слайдов. Тема обязывает… 5
  • 6. 1. Полезно знать специалистам по ИБ, юристам, сотрудникам отдела персонала 2. Инциденты (разглашение охраняемой законом тайны) случаются регулярно 3. Увольнения по соответствующей статье происходят все чаще и чаще… 4. Работодатели предпочитают преследовать по ТК РФ, а не по УК РФ 5. Уже много судебной практики (победы и работников и работодателей) 6 Почему тема актуальна?
  • 7. 7 Почему тема проблемная? Корпоративные юристы (и сотрудники отдела персонала) обычно слабо разбираются в особенностях законодательства по ИБ. Аналогично и специалисты по ИБ редко понимают юридические риски и саму процедуру увольнения работников.
  • 8. Кстати, судебную практику по теме найти не просто… 8
  • 10. 10
  • 11. Целями трудового законодательства являются установление государственных гарантий трудовых прав и свобод граждан, создание благоприятных условий труда, защита прав и интересов работников и работодателей. 11 ТК РФ
  • 12. 12 Статья 21. Основные права и обязанности работника Работник обязан: • добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; • соблюдать правила внутреннего трудового распорядка; • … Статья 22. Основные права и обязанности работодателя Работодатель имеет право: • … • требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя (в том числе к имуществу третьих лиц, находящемуся у работодателя, если работодатель несет ответственность за сохранность этого имущества) и других работников, соблюдения правил внутреннего трудового распорядка; • принимать локальные нормативные акты • …
  • 13. 13 Основания для прекращения ТД ТК РФ Статья 77. Общие основания прекращения трудового договора Основаниями прекращения трудового договора являются: 1) соглашение сторон; 2) истечение срока трудового договора, за исключением случаев, когда трудовые отношения фактически продолжаются и ни одна из сторон не потребовала их прекращения; 3) расторжение трудового договора по инициативе работника; 4) расторжение трудового договора по инициативе работодателя; … 9) отказ работника от перевода на работу в другую местность вместе с работодателем; …
  • 14. Статья 81. Расторжение трудового договора по инициативе работодателя 3) несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации; … 5) неоднократного неисполнения работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание; … 11) представления работником работодателю подложных документов при заключении трудового договора; 14 «Полезные» основания для увольнения работников (ТК РФ)
  • 15. 6) однократного грубого нарушения работником трудовых обязанностей: а) прогула, то есть отсутствия на рабочем месте без уважительных причин в течение всего рабочего дня (смены), независимо от его (ее) продолжительности, а также в случае отсутствия на рабочем месте без уважительных причин более четырех часов подряд в течение рабочего дня (смены); б) появления работника на работе (на своем рабочем месте либо на территории организации - работодателя или объекта, где по поручению работодателя работник должен выполнять трудовую функцию) в состоянии алкогольного, наркотического или иного токсического опьянения; в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника; г) совершения по месту работы хищения (в том числе мелкого) чужого имущества, растраты, умышленного его уничтожения или повреждения, установленных вступившим в законную силу приговором суда или постановлением судьи, органа, должностного лица, уполномоченных рассматривать дела об административных правонарушениях; д) установленного комиссией по охране труда или уполномоченным по охране труда нарушения работником требований охраны труда, если это нарушение повлекло за собой тяжкие последствия (несчастный случай на производстве, авария, катастрофа) либо заведомо создавало реальную угрозу наступления таких последствий; 15 «Полезные» основания для увольнения работников (ТК РФ)
  • 16. 16 Опытный специалист отдела персонала всегда найдет основание для увольнения…
  • 17. 17 По инициативе работника По соглашению сторон По инициативе работодателя Основание ТК РФ ст.80 ТК РФ ст.78 ТК РФ ст.81 За разглашение – ст.81 п.6 в) Мотив компании Без сложностей расстаться с нелояльным сотрудником Расстаться с работником, минимизировать возможные риски Наказать, создать прецедент для других работников Ограничение по срокам Минимальное (2 недели), но работник может отозвать заявление Нет Не позднее 6 месяцев со дня совершения проступка, Не позднее 1 месяца со дня обнаружения Обида сотрудника Обычно нет, если увольнение без принуждения Обычно нет, при хороших условиях соглашения Обычно да Желание оспорить в суде Возможно, если было принуждение к увольнению Обычно желания нет. Суд на стороне работодателя Да, особенно если есть сильные аргументы (ошибки при увольнении, принуждение, оговор) Что другие работники думают? «Компания не хочет проблем» «За сотрудником сила, компания не хочет проблем» «За компанией сила, могут наказать»
  • 18. 18 Хитрые обиженные работники могут сказать… «На меня было оказано давление. Написал заявление об увольнении не по собственному желанию, а по принуждению»
  • 19. 19 Предложение работнику написать заявление об увольнении по собственному желанию может быть признано принуждением к увольнению. К заявлению работника о расторжении трудового договора предъявляются следующие требования: • добровольность • определенность • соблюдение установленной формы
  • 20. 20 Дисциплинарные взыскания «За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания: 1. замечание; 2. выговор; 3. увольнение по соответствующим основаниям.» Важно по ТК РФ ст.192-193: • 1 дисциплинарный проступок – 1 дисциплинарное взыскание • Не позднее 6 месяцев со дня совершения проступка • Не позднее 1 месяца со дня обнаружения проступка • Необходимо запросить от работника письменное объяснение
  • 21. ТК РФ ст.238-250 • Работник обязан возместить работодателю причиненный ему прямой действительный ущерб. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат. • Работник несет материальную ответственность в пределах своего среднего месячного заработка. Если больше, то нужно судебное решение. 21 Мат. ответственность по ТК РФ
  • 22. Статья 81. Расторжение трудового договора по инициативе работодателя Трудовой договор может быть расторгнут работодателем в случаях: 6) однократного грубого нарушения работником трудовых обязанностей: в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника 22
  • 23. 23 Отдел персонала Отдел ИБ Юристы Увольнение по ст.81 п.6 в) необходимо производить согласованно и при одобрении руководства
  • 24. Шаг 1. Компания увольняет работника «по статье» 81 п.6 в) Шаг 2. Работник обижается и подает в суд исковое заявление Шаг 3. ??? выигрывает суд(-ы) 24 Типовой сценарий
  • 25. • Все молодцы! Может даже премию дадут… • Полезный прецедент на работе • Повышение авторитета руководства, ИБ, HR, юристов 25 Если выигрывает работодатель
  • 26. • Взыскание среднего заработка за время вынужденного прогула • Компенсация морального вреда (редко и мало) • Потраченное зря время сотрудников ИБ, HR, юристов • Снижение авторитета руководства, ИБ, HR, юристов • Новые риски при восстановлении обиженного работника • Репутационные риски компании 26 Если выигрывает работник
  • 27. 27 Мы изучили, обобщили и выделили главное из судебной практики по теме...
  • 28. 1. Нарушение процедуры увольнения 2. Отсутствие факта разглашения 3. Отсутствие режима защиты информации (особенно КТ) 4. Нарушение конституционных прав работников при сборе доказательной базы 5. «Детективные игры» 6. Слабая аргументация для Суда 28 Все типовые ошибки
  • 30. Статья 193. Порядок применения дисциплинарных взысканий До применения дисциплинарного взыскания работодатель должен затребовать от работника письменное объяснение. Если по истечении двух рабочих дней указанное объяснение работником не предоставлено, то составляется соответствующий акт. Непредоставление работником объяснения не является препятствием для применения дисциплинарного взыскания. Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников. Дисциплинарное взыскание не может быть применено позднее шести месяцев со дня совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки - позднее двух лет со дня его совершения. В указанные сроки не включается время производства по уголовному делу. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание. Приказ (распоряжение) работодателя о применении дисциплинарного взыскания объявляется работнику под роспись в течение трех рабочих дней со дня его издания, не считая времени отсутствия работника на работе. Если работник отказывается ознакомиться с указанным приказом (распоряжением) под роспись, то составляется соответствующий акт. Дисциплинарное взыскание может быть обжаловано работником в государственную инспекцию труда и (или) органы по рассмотрению индивидуальных трудовых споров. 30
  • 31. • Не позднее 1 месяца со дня обнаружения проступка • Не позднее 6 месяцев со дня совершения проступка 31 Важно успеть в срок
  • 33. «Лучшая защита - это нападение, поэтому вместо "объяснительной" всегда пиши "докладную"»  33 Иногда работники идут по этому пути
  • 34. 34 «Идеальная» процедура увольнения № Шаги Ключевое подразделение Документы 1. Обнаружение инцидента, сбор дополнительной информации ИБ Краткий отчет об инциденте, Служебная записка 2. Обсуждение возможных вариантов реагирования Руководство и HR Приказ о проведении служебного расследования (о создании Комиссии) 3. Запрос объяснительной записки от работника (желательно под роспись) HR Объяснительная записка / Акт об отказе 4. Заседание Комиссии (хорошей практикой является заседание 2х комиссий: по расследованию и по кадровым вопросам) HR, ИБ Протокол(-ы) заседания комиссии (краткое описание инцидента, оценка тяжести проступка, обстоятельства дела, величина ущерба, решение) 5. Принятие решения об увольнении, издание соответствующего приказа HR, руководство Приказ о применении дисциплинарного взыскания / Акт об отказе ознакомления
  • 35. • Не усложняйте! Решение о «виновности» работника и «тяжести проступка» принимает Комиссия • Решение об увольнении принимается Руководством на основании протокола Комиссии 35 А что с доказательством вины?
  • 37. 37 Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. 149-ФЗ
  • 38. 38 Кража электронных носителей и/или средств обработки информации Корпоративная эл.почта Личная эл.почта (с корп.устройств) Сеть Интернет Корпоративные мессенджеры Агент на ПК для облачных хранилищ Персональные мессенджеры Предоставление неправомерных расширенных прав доступа к ИС Вынос бумажных документов (твердые копии) Фото и видео Аудио (разговор) Личная эл.почта (с персональных устройств) Внешние (съемные) носители Печать документов Синхронизация мобильных устройств Просто доказать Сложно доказать Сложно выявить Просто выявить Про каналы утечки
  • 39. 39 Если не можете доказать разглашение, то можете наказать за нарушение правил внутреннего трудового распорядка и правил обработки (защиты) информации ограниченного доступа
  • 40. 40 Ошибка №3 Отсутствие режима защиты информации (особенно КТ)
  • 41. 41 Что надо знать и понимать? 149-ФЗ об информации, ИТ и ЗИ от 2006 152-ФЗ о ПДн от 2006 98-ФЗ о КТ от 2004 Указ 188 о перечне КИ от 1997 + отраслевые ФЗ, определяющие требования к защите информации
  • 42. Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» 1. Настоящий Федеральный закон регулирует отношения, возникающие при: 1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации. 2. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации, за исключением случаев, предусмотренных настоящим Федеральным законом. 42 149-ФЗ
  • 43. 1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, РФ, субъект РФ, муниципальное образование. 2. От имени РФ, субъекта РФ, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами. 3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе: 1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; 2) использовать информацию, в том числе распространять ее, по своему усмотрению; 3) передавать информацию другим лицам по договору или на ином установленном законом основании; 4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; 5) осуществлять иные действия с информацией или разрешать осуществление таких действий. 4. Обладатель информации при осуществлении своих прав обязан: 1) соблюдать права и законные интересы иных лиц; 2) принимать меры по защите информации; 3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами. 43 Статья 6. Обладатель информации
  • 44. Статья 5 Информация как объект правовых отношений 2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). 44 Термин ИОД
  • 45. Статья 9. Ограничение доступа к информации 1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. 2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. 3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне. 4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. 5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. 6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда. 7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе. 8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами. 9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных. 45
  • 46. 1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. 2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации. 46 Статья 16. Защита информации (1)
  • 47. 4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации; 7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации. 5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. 6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. 47 Статья 16. Защита информации (2)
  • 48. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; 3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных 48 152-ФЗ
  • 49. Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 2. Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 5) учетом машинных носителей персональных данных; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 49
  • 50. Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне» Статья 1. Цели и сфера действия настоящего Федерального закона 1. Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. 2. Положения настоящего Федерального закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована. 3. Положения настоящего Федерального закона не распространяются на сведения, отнесенные в установленном порядке к государственной тайне, в отношении которой применяются положения законодательства Российской Федерации о государственной тайне. 50 98-ФЗ
  • 51. 1) коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; 2) информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны; 4) обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны; 5) доступ к информации, составляющей коммерческую тайну, - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации; 9) разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. 51 Термины
  • 52. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации 52
  • 53. Статья 5. Сведения, которые не могут составлять коммерческую тайну Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений: 1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры; 2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности; 3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов; 4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно- эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом; 5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест; 6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам; 7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений; 8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности; 9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации; 10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица; 11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами. 53 НЕ могут составлять КТ
  • 54. Статья 6.1. Права обладателя информации, составляющей коммерческую тайну 1. Права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении этой информации режима коммерческой тайны в соответствии со статьей 10 настоящего Федерального закона. 2. Обладатель информации, составляющей коммерческую тайну, имеет право: 1) устанавливать, изменять, отменять в письменной форме режим коммерческой тайны в соответствии с настоящим Федеральным законом и гражданско-правовым договором; 2) использовать информацию, составляющую коммерческую тайну, для собственных нужд в порядке, не противоречащем законодательству Российской Федерации; 3) разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации; 4) требовать от юридических лиц, физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязанностей по охране ее конфиденциальности; 5) требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в результате действий, совершенных случайно или по ошибке, охраны конфиденциальности этой информации; 6) защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав. 54 Права обладателя КТ
  • 55. 1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя: 1) определение перечня информации, составляющей коммерческую тайну; 2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; 5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). 55 Меры по охране (ст.10)
  • 56. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, указанных мер 56
  • 57. Наряду с указанными мерами обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. 5. Меры по охране конфиденциальности информации признаются разумно достаточными, если: 1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя; 2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны. 57
  • 58. 58 98-ФЗ: Возмещение убытков 3. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работник обязан: … 3) возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей; 4. Работодатель вправе потребовать возмещения убытков, причиненных ему разглашением информации, составляющей коммерческую тайну, от лица, получившего доступ к этой информации в связи с исполнением трудовых обязанностей, но прекратившего трудовые отношения с работодателем, если эта информация разглашена в течение срока действия режима коммерческой тайны. 5. Причиненные работником или прекратившим трудовые отношения с работодателем лицом убытки не возмещаются, если разглашение информации, составляющей коммерческую тайну, произошло вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы.
  • 59. Ст.11 8. Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением трудовых обязанностей. 59
  • 60. Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера» В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти постановляю: Утвердить прилагаемый перечень сведений конфиденциального характера. 60 Указ №188
  • 61. 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 2. Сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с федеральными законами от 20 апреля 1995 г. N 45-ФЗ "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов" и от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства", другими нормативными правовыми актами РФ принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством РФ такие сведения не отнесены к сведениям, составляющим государственную тайну. 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. 7. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ "Об исполнительном производстве". 61 Перечень сведений конф.характера
  • 62. Сведения, отнесенные к категории ограниченного доступа • В справке «Консультант +» определено 50 таких сведений • Часто термины и границы определены не явно, виды тайн «смешиваются» 62 «Виды тайн»
  • 63. 63 Тайна Основание Тайна Основание Государственная тайна ФЗ №5485-1 ст.5 УП №1203 149-ФЗ ст.9 п.3 Персональные данные 152-ФЗ 149-ФЗ ст.9 п.9 УП №188 п.1 Коммерческая тайна 98-ФЗ 149-ФЗ ст.9 п.4 УП №188 п.5 Секрет производства (ноу-хау) ГК РФ IV ст.1465 УП №188 п.6 Профессиональная тайна 149-ФЗ ст.9 п.4-7 УП №188 п.4 Врачебная тайна 323-ФЗ ст.13 УП №188 п.4 Банковская тайна (тайна банковских вкладов) ФЗ №395-1 ст.26 ГК РФ II, ст. 857 Тайна кредитной истории 218-ФЗ ст.6 и 7, содержание кр.истории – ст.4 Инсайдерская информация 224-ФЗ Служебная тайна 149-ФЗ ст.9 п.4 УП №188 п.3 Тайна связи (переписки, переговоров…) Конституция РФ ст.23 п.2 126-ФЗ ст.63 176-ФЗ ст.15 УП №188 п.4 149-ФЗ ст.9 п.4-7 Личная и семейная тайна Конституция РФ ст.23 п.1 ГК РФ ст.150 п.1 149-ФЗ ст.9 п.8
  • 64. 64 В случае оспаривания работником увольнения по подпункту "в" пункта 6 части первой статьи 81 Кодекса работодатель обязан представить доказательства, свидетельствующие о том, что: 1. сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, 2. эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей 3. и он обязывался не разглашать такие сведения. Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 28.09.2010) "О применении судами Российской Федерации Трудового кодекса Российской Федерации"
  • 65. • Отсутствие режима КТ (не все требования выполнены) • Отсутствие перечня информации ограниченного доступа или он не полный (детализация, кстати, не важна) • Внесение в перечень сведений, которые не могут составлять КТ • Отсутствие документированных обязательств о неразглашении • Отсутствие документированных требований по обработке и защите информации ограниченного доступа • Отсутствие подтверждения ознакомления работников с требованиями • Отсутствие разграничения доступа к информации (все имеют доступ ко всему) 65 Типовые ошибки
  • 66. Перечень информации ограниченного доступа (или аналоги) – важнейший документ!!! Рекомендации по составу прочих регламентирующих документов по ИБ будут далее (в ошибке №6)… 66
  • 67. 67 Хитрые обиженные работники могут сказать… «А на разглашенных документах не был проставлен гриф конфиденциальности…»
  • 68. Для Суда это не критично, если есть документированные требования по простановке грифа, и разглашенная информация соответствует Перечню информации ограниченного доступа. Работник мог намерено не проставить/убрать гриф… 68
  • 69. 69 Если режим КТ не установлен, а информация была разглашена, то посмотрите на ее состав. Возможно получится доказать разглашение ПДн (или другой тайны), а не КТ…
  • 70. 70 Хитрые обиженные работники могут сказать… «Не были ознакомлены ни с перечнем информации ограниченного доступа, ни с правилами обработки и защиты»
  • 71. Для Суда это не критично. Попробуйте доказать, что все ознакамливаются и/или корпоративная культура ИБ предполагает такое ознакомление. Могут быть вызваны свидетели подтверждающие это. Идеальный вариант: наличие подписи работника в журнале ознакомления. 71
  • 73. 73 Хитрые обиженные работники могут спросить… «А не нарушил ли работодатель конституционные права работника (на личную и семейную тайну, на тайну переписки) при сборе доказательств разглашения?»
  • 74. 74 Все ОК, обычно не нарушают… (но см. ошибку №5)
  • 75. 75 Статья 23 1) Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2) Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
  • 76. 76 Личная и семейная тайна Конституция РФ (ст.23 п.1): «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.» ГК РФ (ст.150 п.1): «Жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, неприкосновенность жилища, личная и семейная тайна, свобода передвижения, свобода выбора места пребывания и жительства, имя гражданина, авторство, иные нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом.»
  • 77. 77 Понятия «частная жизнь», «личная и семейная тайна» в явном виде не определены… Комментарий Консультант+: Частная жизнь - это то времяпрепровождение, которое гражданин осуществляет вне службы, вне производственной обстановки, а также вне общественной жизни и общественного окружения. Она включает общение между людьми на неформальной основе в сферах семейной жизни, родственных, дружеских, товарищеских связей, интимных и других личных отношений, привязанностей, симпатий и антипатий. Частная жизнь также проявляется в состоянии здоровья лица (его физических и психических недостатках и т.п.), образе его мыслей, отношении к религии, сексу, в политическом и социальном мировоззрении, увлечениях, творчестве и т.п. Некоторые ученые к сведениям "о личной и частной жизни" лица относят также данные о совершении "нотариальных действий, записи актов гражданского состояния, имущественном положении" Выдержка из судебной практики: Частная жизнь - это те стороны личной жизни человека, которые он в силу своей свободы не желает делать достоянием других. Это - своеобразный суверенитет личности, означающий неприкосновенность его среды обитания.
  • 78. 78 149-ФЗ Статья 9. Ограничение доступа к информации 8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами. ГК РФ Статья 152.2. Охрана частной жизни гражданина 1. Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни. Не являются нарушением правил, установленных абзацем первым настоящего пункта, сбор, хранение, распространение и использование информации о частной жизни гражданина в государственных, общественных или иных публичных интересах, а также в случаях, если информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле. 2. Стороны обязательства не вправе разглашать ставшую известной им при возникновении и (или) исполнении обязательства информацию о частной жизни гражданина, являющегося стороной или третьим лицом в данном обязательстве, если соглашением не предусмотрена возможность такого разглашения информации о сторонах.
  • 79. 79 Тайна связи Конституция РФ (ст.23 п.2): Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Указ Президента РФ №188 "Об утверждении Перечня сведений конфиденциального характера" п.4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
  • 80. 80 О связи 126-ФЗ «О связи». Статья 63. Тайна связи 1. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи. Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами. 2. Операторы связи обязаны обеспечить соблюдение тайны связи. 176-ФЗ «О Почтовой связи». Статья 15. Тайна связи Тайна переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи, гарантируется государством. Осмотр и вскрытие почтовых отправлений, осмотр их вложений, а также иные ограничения тайны связи допускаются только на основании судебного решения. Все операторы почтовой связи обязаны обеспечивать соблюдение тайны связи. Информация об адресных данных пользователей услуг почтовой связи, о почтовых отправлениях, почтовых переводах денежных средств, телеграфных и иных сообщениях, входящих в сферу деятельности операторов почтовой связи, а также сами эти почтовые отправления, переводимые денежные средства, телеграфные и иные сообщения являются тайной связи и могут выдаваться только отправителям (адресатам) или их представителям.
  • 81. 81 Термин «тайна связи» определен лишь в 176-ФЗ «О почтовой связи», что уже интересно… Тайна связи - тайна переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи, не подлежащая разглашению без согласия пользователя услуг почтовой связи. Термин «оператор связи» определен в 126-ФЗ Оператор связи - юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии.
  • 82. 82 Регуляторы рекомендуют (обязывают) использовать средства мониторинга и контроля. Например, для защиты ПДн и информации, обрабатываемой в государственных ИС.
  • 83. 83 Требования и рекомендации ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ Контроль содержания информации, передаваемой из информационной системы, должен предусматривать: • выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них; • выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них; • выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них; • выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них; • контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах; • выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы). Требования к усилению • в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором; • в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием Методический документ. Меры защиты информации в государственных ИС
  • 84. Не будем вдаваться в тему, сразу перейдем к стратегии аргументации работодателя, которую полезно понимать… 84
  • 85. 1. Работодатель, как обладатель (владелец) информации, информационных систем и сервисов, обладает правом предъявлять требования по их использованию и контролировать их выполнение. В организации определен Перечень информации ограниченного доступа, Правила работы с информацией ограниченного доступа, Политика допустимого использования (средств обработки и ИТ-сервисов). В частности, в явном виде запрещена передача информации ограниченного доступа с использованием персональных средств и систем (например, личной электронной почты или мессенджеров, не утвержденных в организации). 2. Работникам в явном виде запрещено хранить личную информацию на корпоративных ресурсах (рабочие станции и файловые хранилища) и передавать ее по корпоративным каналам связи (эл.почта и сеть Интернет). 3. Работники уведомлены, что правила использования корпоративной информации и информационных ресурсов регулярно контролируются с использованием средств мониторинга. 4. Работодатель не является оператором связи, не предоставляет такого рода услуги и не обеспечивает тайну связи для передачи информации по своим корпоративным каналам. О возможности мониторинга и контроля корпоративной переписки известно работникам (см.п 3). 85 Стратегия работодателя
  • 86. 5. У работодателя отсутствует умысел нарушения тайны частной жизни. Предполагается, что на контролируемых ресурсах таких данных нет. 6. Если личная информация будет обнаружена на корпоративных ресурсах, то она будет удалена, а к работнику могут применяться дисциплинарные взыскания за нарушение правил внутреннего трудового распорядка. 7. Обнаруженная личная информация не будет использована (по крайней мере официально) при принятии решений. 8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников. Содержание информации, хранимой в личных сервисах передачи данных (например, внешняя эл.почта) не проверяется даже при получении такой возможности (по крайней мере официально). 9. У работодателя отсутствует умысел нарушения тайны переписки при контроле входящей почты. Работники уведомлены, что они обязаны уведомить тех, с кем общаются, о недопустимости использовании корпоративных сервисов для осуществления любых видов коммуникаций, не связанных со служебной деятельностью. 10. Информация, обнаруженная во входящих сообщениях, не будет использована (по крайней мере официально) при принятии решений. 86 Стратегия работодателя(продолжение)
  • 88. • Взлом личной электронной почты, аккаунтов в соц.сетях и др. • Скрытая аудио и видео съемка • Личный обыск, изъятие персональных средств обработки и хранения информации • «Выбивание» признания • Принуждение свидетелей 88 Иногда работодателей «заносит» при расследовании инцидентов… Не рекомендуем!!!
  • 89. Изучите: • Закон № 144-ФЗ «Об оперативно-розыскной деятельности» • Закон № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации» • «Уголовно-процессуальный кодекс Российской Федерации» (УПК РФ) И взаимодействуйте с: 89 Но если совсем нужно, то
  • 91. • Понимайте свои сильные и слабые стороны • Ведите хронологию события • Соберите максимум документов • Проинструктируйте и потренируйте свидетелей. Должны знать хронологию события, порядок обработки и защиты информации в организации • Будьте готовы к вопросам про доказательство разглашения информации («решение приняла Комиссия»), наличие мотива у работника и величину ущерба («пока не определен, но если посчитаем, то подадим на работника в суд») • Не рекомендуем врать и использовать подложные документы… 91 Рекомендации для Суда
  • 92. 92 Документы для Суда 1. Локальные нормативные акты, связанные с трудовой деятельностью работника 2. Документы про инцидент и по процедуре увольнения 3. Документы про режим защиты информации 4. Прочее (для суда)
  • 93. 93 Документы для Суда (подробно) 1. Локальные нормативные акты, связанные с трудовой деятельностью работника • Трудовой договор • Правила внутреннего трудового распорядка • Должностная инструкция работника • Положение о подразделении работника • Доп.соглашения с работником (ПДн, КТ и пр.) • Характеристика на работника (при наличии "полезных" фактов в биографии)
  • 94. 94 Документы для Суда (подробно) 2. Документы про инцидент и по процедуре увольнения • Служебная записка и/или Отчет об инциденте • Хронология событий • Выгрузки отчетов из DLP и других средств мониторинга и защиты • Приказ о назначении комиссии по расследованию инцидента • Объяснительная работника / Акт об отказе • Протоколы заседаний Комиссии • Приказ об увольнении
  • 95. 95 Документы для Суда (подробно) 3. Документы про режим защиты информации • Перечень информации ограниченного доступа • Положения об обработке и защите информации ограниченного доступа (ПДн, КТ и пр.) • Перечень лиц, допущенных к обработке • Документы, содержащие положения и процедуры по ИБ: общая политика ИБ, парольная защита, контроль доступа, допустимое использование ИС и сервисов, мониторинг и контроль, управление инцидентами и пр. • Выписка из Модели угроз и Модели нарушителя • ТЗ на систему защиты • Справка о DLP системы (функционал и сертификаты) • Положение о подразделении ИБ и должностные инструкции • Отчеты об аудитах и проверках ИБ, аттестаты соответствия • Отчеты и планы по обучению/инструктажу работников • Перечень документов по ИБ, с которыми ознакамливаются работники • Копии журналов ознакомления с документами и обучения работников по вопросам ИБ
  • 96. 96 Документы для Суда (подробно) 4. Прочее (для Суда) • Исковое заявление • Возражение ответчика (на исковое заявление) • Перечень предоставленных документов
  • 97. 1. Нарушение процедуры увольнения 2. Отсутствие факта разглашения 3. Отсутствие режима защиты информации (особенно КТ) 4. Нарушение конституционных прав работников при сборе доказательной базы 5. «Детективные игры» 6. Слабая аргументация для Суда 97 Все типовые ошибки
  • 99. 99 Наказание по ТК РФ Наказание по УК РФ Мотив работодателя Хотим наказать быстро и просто, нужен прецедент Хотим сильно наказать (большой ущерб), нужен громкий прецедент Основание ТК РФ ст.81 УК РФ ст.183, 185.5 ст.159, 163 ст.272-274 Возмещение ущерба Обычно нет По решению суда, но надо доказать величину ущерба Трудозатраты Низкие Средние Общая длительность До 1 месяца Может быть несколько лет Процедура Простая, по ТК РФ Сложная, по УПК РФ Взаимодействие с правоохранительными органами Нет МВД России / ФСБ России Сложность сбора доказательной базы Низкая, решение принимает внутренняя комиссия Высокая, необходимо соблюсти все формальные процедуры
  • 100. • Процедура взаимодействия с правоохранительными органами • Мотивация сотрудников правоохранительных органов • Процедуры сбора доказательной базы и гарантии неизменности цифровых доказательств • Оценка величины ущерба • Доказательство вины, достаточность доказательств 100 Сложности с преследованием по УК
  • 101. • Это быстрее (и дешевле), «игра стоит свеч» • Процедура проще • Меньше риски проигрыша в суде 101 Обычно выбирают преследование по ТК РФ, а не УК РФ
  • 102. 102 Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave Моя почта: prozorov.info@gmail.com