Коммерческая тайна

Модератор: motylkov

Ответить
Ю.Латкин
Сообщения: 257
Зарегистрирован: Пт июл 10, 2009 21:09
Откуда: Чехов Московской области

Коммерческая тайна

Сообщение Ю.Латкин » Чт сен 15, 2011 21:52

Уважаемые Коллеги!
Я занимаюсь организационной составляющей защиты "Коммерческой тайны" сравнительно недавно. С первого дня работы весьма был удивлен, мягко скажем, несоответствию заявленного реальному положению дел в этой области. Мне никто не может показать хотя бы одно предприятие, которое способно выполнить технические требования к защите "КТ". Понятно, что состояние защиты КТ - это само по себе "коммерческая тайна". Потому не призываю раскрывать средства и способы защиты.
Хотелось бы уяснить, как организовать работу по защите КТ на предприятии, не навредив бизнес-процессам.
Предлагаю начать с простого.
Ст.10 129-ФЗ гласит, что регистры бухгалтерского учета являются коммерческой тайной. Как организовать в этом случае работу бухгалтерии? Не закрывать же им интернет?
Извините, если эти вопросы кому-то кажутся нелепыми, но мне на них реально никто не может ответить.
Можно в личку...
Si vis pacem, para bellum
С Уважением, Ю.Латкин

Волков Андрей
Сообщения: 1169
Зарегистрирован: Вт ноя 15, 2005 13:25
Откуда: Город-герой Москва
Контактная информация:

Сообщение Волков Андрей » Чт сен 15, 2011 22:24

Вопрос очень хороший Вы подняли, скажу больше, люди вляпавшись по полной программе, сразу начинают уделять этому вопросу максимум внимания, по весьма банальной причине: когда клюет жареный петух, наплевательство к данному вопросу выливается многомиллионными потерями.
Готовлю материалы по инсайду, они полностью пересекается с Вашей темой.А начинать Вам надо с регламентацией данной деятельности в своей компании, назовем его "положением о коммерческой тайне" например. Но для начала подробно изучите требования любимого государства к данному вопросу.

Ю.Латкин
Сообщения: 257
Зарегистрирован: Пт июл 10, 2009 21:09
Откуда: Чехов Московской области

Сообщение Ю.Латкин » Чт сен 15, 2011 22:44

С изучения и начал. Оттого и нахожусь в некоторой прострации. Положение то мы сделали почти "прекрасное". Вот только его реализация раком поставит всю компанию. Потому и начинаю задавать вопросы по отдельным "больным" разделам.
Si vis pacem, para bellum
С Уважением, Ю.Латкин

Sklon
Сообщения: 483
Зарегистрирован: Сб май 31, 2008 11:16

Сообщение Sklon » Пт сен 16, 2011 0:30

Ю.Латкин, в защите регистров бухучета, основной вопрос на мой взгляд состоит в ограничении неправомерного доступа к информации. Если ближе к конкретике, то приведу пример. Организация занимается мелкооптовой и розничной торговлей стройматериалами, для учета использует 1с предприятие, также включает в себя и складской учет. Так вот, обычным менеджерам по продажам и кладовщикам права пользователей естессно ограничены в пределах выполнения должностных обязанностей, т.е. карточки счетов 60 "Расчеты с поставщиками и подрядчиками" и 62 "Расчеты с покупателями и заказчиками" и пр. им недоступны, соответственно обороты по счетам тоже. Но кладовщикам и менеджерам, чтобы составить отчет за месяц для проведения инвентаризации, разрешено делать ведомость (оборотку) по 41 счету "товары" (у менеджеров оборотка именная, только по тем, товарам, реализация по которым прошла от конкретно каждого). Вот собственно и первая загвоздка, вроде и необходимо, но и лазить по 41 счету могут все кому не лень. Имея оборотную ведомость по 41 счету, уже можно судить о примерных объемах продаж за месяц в организациях, род деятельности которых оптовая, мелкооптовая и розничная торговля.
Вторая загвоздка, менеджеры и кладовщики часто пароли друг друга знают, смена паролей проводилась по-моему раз в полгода, сейчас уж и не помню. В результате один хитрый менеджер "подтирал" информацию о проданных товарах коллеги и по "левым" расходным накладным отпустил товар ряду лиц. Наличие видеокамер никак не помогало. Этому "эффективному" менеджеру не пришла в голову мысль, что есть журнал регистрации событий, который просто так не зачистишь, даже если вы сисадмин, есть раздел "структура подчиненности", который показывает когда и в каком порядке создавались документы по продаже (счет на оплату, кассовый чек, накладная на отпуск со склада и расходная накладная).
Как все закончилось если интересно позже напишу, сейчас спать.
Простите за "многа букафф":))
С уважением Руслан, Москва.

В. Белов
Сообщения: 208
Зарегистрирован: Сб май 15, 2010 11:37

Сообщение В. Белов » Пт сен 16, 2011 8:29

Sklon, очень интересно! Это реальная история?

motylkov
Сообщения: 42
Зарегистрирован: Пн сен 05, 2011 22:20
Контактная информация:

Сообщение motylkov » Пт сен 16, 2011 12:29

Sklon писал(а):Этому "эффективному" менеджеру не пришла в голову мысль, что есть журнал регистрации событий, который просто так не зачистишь, даже если вы сисадмин, есть раздел "структура подчиненности", который показывает когда и в каком порядке создавались документы
Это к вопросу защищенности CRM и прочих систем... Даже весьма крупные компании сегодня используют чужие готовые решения, которые приходится дорабатывать под себя или закрывать на недочеты глаза.

Вопрос, на мой взгляд, не столько в идеальной безопасности на уровне программного продукта, сколько комплекс программной и кадровой безопасности.

Непрерывное усиление конкуренции, дефицит на рынке труда, безразличие к длительности работы на одном месте, низкая заработная плата и прочее порождают двойную игру сотрудников компании. С точки зрения безопасности, развал компании изнутри - это самый "выигрышный" метод. Как и в случае с вирусом и антивирусом, методы ведения конкуренции становятся все более изощренными, как и накапливаемый опыт по защите от них. Ухудшение этики отношений между работниками и работодателями, падение морали, установка многих на воровство (успеть бы!), круговая порука и повсеместная коррупция изменили систему самосохранения организации.

Система кадровой и информационной безопасности базируется на обоснованном уровне доверия к ключевым сотрудникам (неприятие воровства, готовность информировать руководство об угрозах, добросовестное исполнение обязанностей и т. д.), а также на грамотном разграничении правил доступа. Технические средства отступают на второй план — вопрос в том, на сколько безопасную компанию вы хотите построить.

Главный бухгалтер имеет дело с информацией о реальных доходах и финансовых делах фирмы, ради таких сведений конкуренты готовы пойти на многое. И это касается не только бухгалтера, но и других сотрудников обладающих важной инсайдерской информацией. Необходимо мониторить появление в документообороте компании сведений, претендующих на коммерческую тайну и использовать любые меры для их своевременной защиты.

Меры ответственности в виде возмещения ущерба можно предусмотреть в трудовом договоре, однако сумма, которую можно взыскать с нарушителя, не может быть больше месячного заработка сотрудника. Поэтому, все чаще собственники конфиденциальной информации предпочитают заключать с работниками отдельные гражданско-правовые договоры о неразглашении сведений, составляющих коммерческую тайну. Данный договор подчиняется нормам гражданского права, где имущественная ответственность может быть взыскана в полном объеме, включая и упущенную компанией выгоду в результате разглашения закрытой информации.

Правда, в России пока еще не виден большой успех в судебной практике по делам о разглашении коммерческой тайны. Такие проблемы принято решать, не вынося сор из избы. И не всегда законно.
Плохи те знания, которые не используются.
Центр Правовых Инноваций

Sklon
Сообщения: 483
Зарегистрирован: Сб май 31, 2008 11:16

Сообщение Sklon » Пт сен 16, 2011 13:53

В. Белов, история абсолютно реальная, я совместно с экспертом-компьютерщиком проводил комплексную судебную экспертизу. Менеджер привлечен в качестве обвиняемого по ст.160 УК, заодно на него подвесили еще ряд недостач.
motylkov, я не большой специалист по crm системам, они затачиваются под конкретную организацию и почти всегда одни и те же продукты в разных организациях сильно различаются друг от друга, но за 1с могу сказать, что для нормального финансового управления приходиться пользоваться услугами программиста, который "дописывает" модуль "управление торговлей" (8,2), самое сложное при этом, сделать техническое задание, т.е. объяснить так, чтоб он понял чего мы хотим.
"Вопрос, на мой взгляд, не столько в идеальной безопасности на уровне программного продукта, сколько комплекс программной и кадровой безопасности.", я собственно и про это, под ограничением доступа к информации имеется ввиду не только наставить паролей и т.п., но и "уделить внимание" кругу лиц (для начала хотя бы четко определить его), которые могут получать к ней доступ тем или иным образом. В общем проблема комплексная. Ну и бюджет компаний на обеспечение безопасности тоже роль играет. Руководители к которым парни из органов не залетали, вообще зачастую сквозь пальцы на эти вопросы смотрят, диву даешься, как только по несколько лет умудрялись спокойно работать.
Главбухи малых и средних компаний бывает сами приходят в компетентные органы и сдают за процент что там и как, это не такая редкость как может показаться, ну в Москве по крайней мере.

P.S. Пару недель буду редко появляться.
С уважением Руслан, Москва.

Ю.Латкин
Сообщения: 257
Зарегистрирован: Пт июл 10, 2009 21:09
Откуда: Чехов Московской области

Сообщение Ю.Латкин » Пт сен 16, 2011 15:41

Sklon, спасибо. Идеи интересные, надо обмозговать.
Я столкнулся в одной из статей с идеей, что наиболее эффективным было бы не тотальное закрытие каналов утечки, а тотальный мониторинг с "пищалками" у контролирующего органа. Ваш пример, пожалуй, это подтверждает.
Почитаю еще ИСО 2700...
Si vis pacem, para bellum
С Уважением, Ю.Латкин

Волков Андрей
Сообщения: 1169
Зарегистрирован: Вт ноя 15, 2005 13:25
Откуда: Город-герой Москва
Контактная информация:

Сообщение Волков Андрей » Пн сен 19, 2011 12:05

Ю.Латкин писал(а):С изучения и начал. Оттого и нахожусь в некоторой прострации. Положение то мы сделали почти "прекрасное". Вот только его реализация раком поставит всю компанию. Потому и начинаю задавать вопросы по отдельным "больным" разделам.
Начните с приказа за подписью ГД,в котором хотите утвердить перечень информации, составляющей ком.тайну ,а также перечень информационных ресурсов сетевого доступа, содержащих коммерческую тайну. Следующий этап готовите доп.соглашение к трудовому договору на всех сотрудников, и понятное дело, к этому моменту у вас должен быть сформирован перечень информации составлящей коммерческую тайну.

motylkov
Сообщения: 42
Зарегистрирован: Пн сен 05, 2011 22:20
Контактная информация:

Сообщение motylkov » Пн сен 19, 2011 13:08

Ю.Латкин писал(а):Я столкнулся в одной из статей с идеей, что наиболее эффективным было бы не тотальное закрытие каналов утечки, а тотальный мониторинг с "пищалками" у контролирующего органа
Юрий, можете дать статью? Интересно почитать.
Плохи те знания, которые не используются.
Центр Правовых Инноваций

ratybor
Сообщения: 4357
Зарегистрирован: Ср фев 04, 2009 16:07

Сообщение ratybor » Чт сен 22, 2011 12:24

Ю.Латкин писал(а):Ст.10 129-ФЗ гласит, что регистры бухгалтерского учета являются коммерческой тайной. Как организовать в этом случае работу бухгалтерии? Не закрывать же им интернет?
Извините, если эти вопросы кому-то кажутся нелепыми, но мне на них реально никто не может ответить. Можно в личку...
Вопросы не такие уж нелепые, муссируются они уже довольно давно.
Суды, например, при рассмотрении дел, связанных с коммерческой тайной часто ограничиваются обтекаемой формулировкой следующего содержания:

"В силу п. 4 ст. 10 Федерального закона от 21.11.1996 N 129-ФЗ содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности является коммерческой тайной, но при этом данная норма не ограничивает возможность ознакомления с указанными документами, а лишь может служить основанием для применения мер гражданско-правовой ответственности или исключения из числа участников общества в случае разглашения конфиденциальной информации".

Что касается акционеров и участников обществ, то с ними как раз все понятно (в силу п.1 ст.67 ГК РФ и положений Закона N 208-ФЗ), имеют право доступа и шабаш.
Но как ограничить доступ к данной информации для остальных лиц?
На практике - по сути никак (учитывая реалии работы бухгалтерии и степень автоматизации и компьютеризации процесса).
Выход один - долбать и наказывать за разглашение конфиденциальной информации, согласно существующему на Предприятии "Положению о коммерческой тайне".
Мнение чисто мое, не претендую на истину в последней инстанции.
"...Бой окончен, и ты - Победитель
Вот и всё. Остальное неважно" ©

Волков Андрей
Сообщения: 1169
Зарегистрирован: Вт ноя 15, 2005 13:25
Откуда: Город-герой Москва
Контактная информация:

Сообщение Волков Андрей » Чт сен 22, 2011 16:19

Еще раз, есть методы решения организационные, есть технические, все вместе составляет системную информационную безопасность. Другими словами, Вы можете сколько угодно выпустить регламентов, с помощью чего вы будете контролировать их выполнение? И от обратного, внедрение технических средств должно быть определено и закреплено на уровне собственников или руководства компании, это снимает кучу вопросов. В чем сложность разграничить доступ?
Что касается судов у меня например хорошая практика увольнения людей передающих по глупости и по злому умыслу инф. составляющую коммерческую тайну, и доказательная база сделаная по уму принимается на ура судом, некоторые терпилы безуспешно судятся который год, до Верховного суда дошли, только будет ли прок, дмаю, вряд ли...

ratybor
Сообщения: 4357
Зарегистрирован: Ср фев 04, 2009 16:07

Сообщение ratybor » Пт сен 23, 2011 11:00

Волков Андрей, "...что и требовалось доказать" (с).
"...Бой окончен, и ты - Победитель
Вот и всё. Остальное неважно" ©

arlangor
Сообщения: 46
Зарегистрирован: Сб фев 19, 2011 6:07

Сообщение arlangor » Пт сен 30, 2011 12:58

беря в пример бухгалтерию, можно посоветовать, так, как это делает организация в которой работаю я. Все компьютеры, на которых есть мало-мальски секретная информация, выводятся в закрытую сесть! Для этих отделов создается один-два абонентских пункта с выходом в интернет, эти машины не входят ни в какие сети!!! Заводятся зарегистрированные флеш носители, которым разрешено подключение к компьютерам в закрытой сети, остальные блокируются. Флешки проверяются на наличие вирусов не реже одного раза в неделю.
завтра насупит всегда!!! но не для всех...

Tesla
Сообщения: 161
Зарегистрирован: Ср мар 11, 2009 16:44
Откуда: Алексин

Сообщение Tesla » Пт сен 30, 2011 19:48

Ю.Латкин
Электронный адрес скиньте в личку поделюсь готовыми документами принятыми на вооружение.
- Скрипки не делают.
Делают бочки и скамейки.
А скрипки, как хлеб, виноград и детей,
рождают и взращивают © "Визит к минотавру".

Ответить