Как топ-менеджеру компании не сесть в тюрьму?

Какие нарушения чаще всего приводят к привлечению руководителя организации к уголовной от-ветственности и как этого избежать?

StaffCop (АТОМ БЕЗОПАСНОСТЬ)

      Руководство любым предприятием предоставляет не только огромные возможности, но и предполагает серьёзные обязанности, а также ответственность (вплоть до уголовной) за их невыполнение.

      В первую очередь, надо помнить, что незнание законов не освобождает от ответственности за их несоблюдение. И прежде всего – топ-менеджер должен либо в совершенстве (на уровне профессионального юриста) знать действующее законодательство в своей области деятельности, либо иметь в советниках грамотного квалифицированного юриста. В настоящей статье мы рас-смотрим некоторые аспекты информационной деятельности топ-менеджмента компании, о которых свежеиспечённый руководитель, да и руководитель с опытом, может даже не догадываться, и тем не менее – за нарушение законов, по которым осуществляется эта деятельность, может получить условный (а иногда даже и не условный, а реальный) срок плюс запрет заниматься руководя-щей деятельностью в течение некоторого периода времени – своеобразное «поражение в правах».

      Сразу оговоримся, что в настоящей статье не будут рассматриваться откровенно криминальные «возможности» топ-менеджера, такие, например, как получение «откатов» от поставщиков оборудования и программного обеспечения, взяток за определённые действия или бездействие, а также расхищение имущества предприятия или финансовые махинации. Такие действия напрямую подпадают под соответствующие статьи Уголовного кодекса Российской Федерации (в частности, ст.204 УК РФ – «Коммерческий подкуп»: эта статья предусматривает в том числе и лишение свободы – до восьми лет). Но эти «сегменты деятельности» топ-менеджмента, как и наступающие для топ-менеджера последствия, настолько очевидны, что не требуют какого-либо анализа. Поэтому нами будут рассматриваться только те тонкости работы топ-менеджмента, которые связаны с информационной деятельностью предприятия, и те подводные камни в информационной деятельности, которые способны привести топ-менеджмент предприятия на скамью подсудимых

      Можно выделить следующие важные аспекты информационной деятельности предприятия, на которых топ-менеджмент может «оступиться»:

      • неправильная организация работы с информацией, составляющей государственную тайну, которая привела к утечке информации;

      • неправильная организация работы с информацией, составляющей конфиденциальную информацию и коммерческую тайну, которая привела к её утечке. В частности, мало кто в настоящее время учитывает, что к конфиденциальной информации относятся персональные данные сотрудников, контрагентов и партнёров предприятия, и организовывает соответствующим образом их обработку;

      • желание контролировать работу пользователей и утечки информации с помощью DLP-систем. Если это не организовать должным образом в том числе и с юридической стороны – могут быть весьма неприятные последствия как для компании, так и для самого топ-менеджмента.

      Рассмотрим каждый пункт подробнее.

      Обработка информации, составляющей государственную тайну, регламентируется Законодательством Российской Федерации, в частности, Законами Российской Федерации № 390-ФЗ «О безопасности» от 28.12.2010 г. и № 5485-I «О государственной тайне» от 21.07.1993 г. Первый описывает общие принципы организации охраны безопасности государства, а второй – непосредственно регламентирует работу с информацией, которая составляет государственную тайну, по-этому топ-менеджменту следует внимательно его изучить.

      Отметим, что, как правило, работа со сведениями, составляющими государственную тайну – это прерогатива государственных организаций. Но, так как, в последнее время, стала достаточно распространённой практика передачи работ государственными предприятиями на аутсорсинг частным и акционерным компаниям – топ-менеджмент (да и не только он: все сотрудники предприятия) должен знать, как правильно организовывается работа со сведениями, составляющими государственную тайну.

      Особое внимание следует уделить статье 5 Закона «О государственной тайне» - в ней приведён перечень информации, составляющей государственную тайну. Топ-менеджменту предприятия следует определить, является ли информация, с которой работает предприятие, государственной тайной – входит ли эта информация в перечень, приведённый в ст.5, и если да, организовывать работу с такой информацией следует в полном соответствии с законом № 5485-I. Пренебрежение этим гарантированно приведёт к последствиям, описанным в заголовке статьи – в случае неизбежной утечки информации топ-менеджмент предприятия будет привлечён к уголовной ответственности: доказанная вина в утечке информации, содержащей государственную тайну, даже непредумышленная, в некоторых случаях может быть приравнена к государственной измене.

      Очевидно, что наибольший опыт работы со сведениями, составляющими государственную тайну, имеют государственные организации. Поэтому представляется весьма разумным для коммерческой организации скопировать схемы работы со сведениями, составляющими государственную тайну, используемые государственными предприятиями. Они описаны в соответствующих статьях Закона № 5485-I, и любой топ-менеджер сможет применить эти статьи к деятельности своего предприятия. Отметим основные принципы, которыми следует руководствоваться:

      • необходимо создать специальную структуру внутри предприятия, которая будет контролировать обработку информации, содержащей государственную тайну и пригласить на работу в эту структуру квалифицированных специалистов. В коммерческих организациях обычно название «первый отдел» уже не используется, наиболее часто используемое название – «Отдел по охране государственной тайны»;

      • организовать специализированные аттестованные рабочие места. Требования к рабочему месту, на котором выполняется обработка информации, содержащей государственную тайну, и порядок аттестации рабочего места определяется как Законом № 5485-I, так и со-ответствующими подзаконными актами. Аттестация рабочих мест проводится специалистами соответствующих государственных силовых структур, имеющих на это полномочия;

      • обеспечить сотрудникам предприятия получение допуска к сведениям, составляющим государственную тайну. Процедура получения допуска описана в подзаконных документах. Без получения такого допуска работа с информацией, содержащей государственную тай-ну, невозможна в принципе, так как является прямым нарушением закона;

      • если специализированные аттестованные рабочие места объединены в сеть, то такая сеть также должна быть аттестованной, кроме того, обязательно должна не иметь прямого физического подключения к сетям, имеющим выход в сеть Интернет. Очевидно, что такая сеть полностью защищена от внешних вторжений – проникнуть извне в неё невозможно.

      Следуя этим рекомендациям и требованиям закона и подзаконных документов, можно со значительной степенью вероятности утверждать, что с технической точки зрения утечка информации, содержащей государственную тайну, предотвращена. Остаётся самый важный и трудно контролируемый фактор – человеческий.

      Минимизировать угрозу человеческого фактора в утечке информации из закрытых сетей можно только с помощью специальных программных комплексов мониторинга работы пользователей, включающих в себя элементы DLP-систем.

      Таким программным комплексом, причём достаточно простым в установке, настройке и управлении, является StaffCop Enterprise. Комплекс позволяет полностью контролировать любые действия пользователя – в частности, какие файлы он просматривает и редактирует, какие документы печатает. Если в рамках закрытой сети функционирует почтовый сервер или другие серверы общения (например, серверы сетевых мессенджеров), StaffCop Enterprise сможет собрать информацию о том, какими сообщениями, письмами и документами обмениваются сотрудники, а потом представить собранные данные в статистическом виде (графы, диаграммы и т.д.), удобном для анализа.

      Если в закрытой сети разрешено использование съёмных носителей (например, флэш-накопителей или переносных жёстких дисков), StaffCop Enterprise позволит составить «белый спи-сок» съёмных носителей, использование которых разрешено, и контролировать запись/чтение файлов на этих носителях. Это позволит определить, какими сотрудниками и какие документы копируются на съёмные носители, и соответственно вовремя среагировать на утечку информации из закрытой сети. При этом никакие другие съёмные носители, кроме тех, что явно определены в «белом списке», подключить к аттестованным рабочим местам не получится.

      Таким образом, можно рекомендовать описанный выше комплекс мер на предприятии (организационные и технические меры), обеспечивающий правильность обработки информации, со-держащей государственную тайну, и гарантирующий, что к топ-менеджменту предприятия не будет претензий, так как угроза утечки информации практически минимизирована.

      Регламенты обработки информации, содержащей коммерческую тайну и конфиденциальную информацию (в дальнейшем в статье будет использоваться сокращение «КТ и КИ», оно де-факто принято между работающими в сфере информационных технологий и информационной безопасности), очень похожи на регламенты обработки информации, содержащей государственную тайну. Обработка КТ и КИ также регламентируется действующим законодательством: этому посвящён Закон Российской Федерации № 98-ФЗ «О коммерческой тайне» от 29.07.2004 г. К конфиденциальной информации относятся также персональные данные (сотрудников предприятия, контрагентов, партнёров предприятия и т.п.), обработка которых регламентируется Законом Российской Федерации № 152-ФЗ «О персональных данных» от 27.07.2006 г.

      Следует отметить, что в отличие от перечня сведений, составляющих государственную тайну, который составляется государством и регламентирован соответствующей статьёй соответствующего закона, ст.4 Закона «О коммерческой тайне» явно указывает, что отнесение информации к КТ и КИ – право исключительно владельца этой информации, то есть – как раз топ-менеджмента пред-приятия. При этом топ-менеджмент не вправе выводить из КТ и КИ персональные данные – со-гласно Закону «О персональных данных» персональные данные являются конфиденциальной информацией.

      Как показывает практика, к обработке персональных данных практически в настоящее время относятся «спустя рукава» - мало кто соблюдает требования Закона № 152-ФЗ в полной мере. А ведь в случае утечки персональных данных, результатом которой стал ущерб, причинённый владельцам этих персональных данных, обвинения будут предъявлены именно топ-менеджменту компании, так как за обработку в компании информации, содержащей КТ и КИ, отвечает именно топ-менеджмент! Безусловно, к ответственности будет привлечён и непосредственный виновник утечки, но выкрутиться топ-менеджменту, свалив всё на рядовых исполнителей, точно не удастся.

      Учитывая, что уровень ограничения доступа «КТ и КИ» ниже, чем «государственная тайна», при организации обработки информации с уровнем «КТ и КИ» можно заимствовать методику, используемую при работе с информацией, содержащей государственной тайну, с некоторыми по-правками.

      Так, на усмотрение руководства предприятия в этом случае будет вопрос о создании закрытой сети с отсутствием доступа в сеть Интернет: обычно необходимости в такой сети не бывает, достаточно грамотно прописать права доступа пользователей к файлам и папкам, а также принтерам. Это могут сделать специалисты отдела информационных технологий, а проконтролировать – специалисты отдела информационной безопасности. Не имеет смысла обычно в этом случае и создавать отдельную структуру на предприятии – отделы информационной технологии и информационной безопасности (а иногда – группа информационной безопасности как подразделение отдела информационных технологий) отлично справятся как с задачами составления регламентов обработки информации, содержащей КТ и КИ, так и с задачами контроля соблюдения этих регламентов.

      Как уже говорилось выше, важнейшим разделом обработки информации, содержащей КТ и КИ, является обработка персональных данных – персональные данные законодательством отнесены к конфиденциальной информации. Персональные данные обрабатываются в любой организации: это, например, база данных кадров/бухгалтерии (обычно 1С), система СКУД, телефонные справочники организации, информация о посетителях. Оформляя пропуск в организацию, люди отдают свой паспорт (или паспортные данные) для копирования -  это персональные данные. Оформляет ли организация письменное согласие на их обработку? Если нет – организация нарушает Закон № 152-ФЗ, а значит, топ-менеджмент этой организации – на грани привлечения к уголовной ответственности.

      Среда обработки персональных данных, как и среда обработки информации, содержащей КТ и КИ, должна формироваться отдельно от сети общего доступа, при этом, как уже говорилось выше, изолировать эту сеть не обязательно: достаточно установить промежуточный шлюз и выделить сеть обработки информации, содержащей КТ и КИ, в отдельную подсеть, ограничив в неё доступ. 

      Дополнительным средством контроля правильности обработки информации, содержащей КТ и КИ (включая персональные данные сотрудников предприятия, его контрагентов и партнёров, а также обладателей временных пропусков), может стать программный комплекс, который уже был «применён» нами в закрытой сети – комплекс StaffCop Enterprise. В случае работы его в сети, имеющей доступ в Интернет, возможности этого комплекса расширяются: под контроль может быть поставлен интернет-сёрфинг сотрудников, доступ в облачные хранилища (как загрузка, так и выгрузка файлов), общение на различных интернет-форумах.

      Если на предприятии будет проведён комплекс организационно-технических мероприятий и сформирована схема обработки информации, содержащей КТ и КИ, включающий в себя следующие мероприятия, компоненты и разделы:

      • принятие документов, описывающих, какая информация, принадлежащая предприятию, является КТ и КИ (обязательно включая персональные данные сотрудников предприятия, его контрагентов и партнёров);

      • утверждение внутреннего регламента обработки информации, содержащей КТ и КИ, начиная со сканирования документов (ввода информации), описывающего процесс обработки (кто имеет доступ к документам, содержащим КТ и КИ, как обрабатывается информация – с помощью каких программных и аппаратных средств, где хранится) и заканчивая исчерпывающим списком печатающих устройств, на которых разрешена распечатка информации, содержащей КТ и КИ;

      • утверждение внутренних документов, разработанных отделами информационных технологий и информационной безопасности, регламентирующих права доступа к информации, содержащей КТ и КИ, в зависимости от должностей сотрудников предприятия;

      • использование специализированных возможностей стандартных системных программных средств (например – средств домена Microsoft Windows или средства LDAP/NFS в *nix-подобных системах) для создания схем разграничения доступа к файлам и принтерам;

      • внедрение специализированных программных комплексов мониторинга работы пользователей, использования съёмных устройств и устройств печати с элементами DLP-систем, та-кого, например, как StaffCop Enterprise,

      то такой подход позволит полностью перекрыть утечки информации, содержащей КТ и КИ, и гарантирует, что каких-либо претензий к топ-менеджменту предприятия со стороны Уголовного и Гражданского кодексов не будет.

      Наконец, третий, не менее важный аспект безопасной жизни топ-менеджмента предприятия – это юридическое обеспечение систем мониторинга и контроля. Использование любых средств контроля и мониторинга, будь то система охранного телевидения (обычно называемая «видеонаблюдение») или система контроля управления доступом (СКУД), не говоря уж о программном комплексе типа StaffCop Enterprise, может быть интерпретировано адвокатом как вмешательство в личное пространство сотрудника. Соответственно, может быть выдвинута претензия (в том числе и через суд) предприятию, а отвечать от имени предприятия будет, соответственно, топ-менеджмент.

      Как этого избежать и гарантировать отсутствие подобных претензий в будущем, а желательно - навсегда?

      Нам придётся сделать одно существенное допущение, а именно: все сотрудники предприятия, работу которых мы хотим контролировать, для исполнения своих должностных обязанностей используют оборудование, предоставленное им работодателем и находящееся на его балансе. Если сотрудники используют оборудование, принадлежащее им лично (например, ноутбуки) – законно без письменного согласия сотрудников контролировать их работу не получится в принципе.

      Мы будем контролировать не деятельность сотрудника, не его переписку по электронной почте, интернет-сёрфинг, общение в интернет-мессенджерах и интернет-форумах, чтение им электронных книг, скачивание файлов из сети Интернет и так далее, а использование сотрудником не принадлежащего ему оборудования, на котором сотрудник работает. Оборудование принадлежит работодателю, а значит, работодатель имеет право контролировать, не использует ли сотрудник оборудование таким образом, что работодателю может быть нанесён вред.

      Осталось только подобрать грамотную формулировку (ниже будет приведён шаблон, который можно использовать. Точную формулировку для каждого конкретного предприятия подскажут сотрудники юридического отдела. Вносим её в коллективный (так обычно бывает на государственных предприятиях и предприятиях с государственным участием, а также там, где есть профсоюзные организации) или в индивидуальный трудовой договор сотрудника – и задача решена. Если договор был уже заключён – правильным будет оформить специальное дополнительное соглашение.

      А шаблон может выглядеть следующим образом:

      «Работодатель имеет право контролировать использование оборудования, предо-ставленного работодателем работнику для выполнения им своих должностных обязанно-стей, в том числе и с использованием технических и программных средств контроля.»

      Система охранного телевидения («видеонаблюдение»), СКУД – это технические средства контроля. Программные комплексы типа StaffCop Enterprise – соответственно, программные. Если сотрудником этот пункт подписан – значит, и видеонаблюдение, и СКУД, и использование программных комплексов типа StaffCop Enterprise на предприятии легализованы, соответственно, с этой стороны никаких претензий к топ-менеджменту предприятия быть не может.

      Итак, мы рассмотрели три основных направления в информационной деятельности предприятия, со стороны которых (в случае пренебрежения ими) у топ-менеджмента предприятия могут быть проблемы, вплоть до соответствующих статей Уголовного кодекса Российской Федерации. Но если топ-менеджмент будет следовать рекомендациям, приведённым нами, он может и работать, и спать совершенно спокойно.


      Все материалы компании в Библиотеке Безопасника