Журнал "Директор по безопасности" Январь 2021 | Page 9

ФИЛОСОФИЯ ЗАЩИТЫ

Как топменеджеру компании не сесть в тюрьму ?

Какие нарушения чаще всего приводят к привлечению руководителя организации к уголовной ответственности и как этого избежать ?

ДМИТРИЙ КАНДЫБОВИЧ , генеральный директор StaffCop ООО « Атом Безопасность »

Руководство крупным ( да и вообще

любым ) предприятием предоставляет не только огромные возможности , но и предполагает серьезные обязанности , а также ответственность ( вплоть до уголовной ) за их невыполнение .

Итак , как руководству компании не оказаться за решeткой ?!

В первую очередь , надо помнить , что незнание законов не освобождает от ответственности за их несоблюдение . И прежде всего – топ-менеджер должен либо в совершенстве ( на уровне профессионального юриста ) знать действующее законодательство в своей области деятельности , либо иметь в советниках грамотного квалифицированного юриста . В настоящей статье мы рассмотрим некоторые аспекты информационной деятельности топ-менеджмента компании , о которых свежеиспечeнный руководитель , да и руководитель с опытом , может даже не догадываться , и тем не менее – за нарушение законов , по которым осуществляется эта деятельность , может получить условный ( а иногда даже и не условный , а реальный ) срок плюс запрет заниматься руководящей деятельностью в течение некоторого периода времени – своеобразное « поражение в правах ».

Сразу оговорим , что в настоящей статье не будут рассматриваться откровенно криминальные « возможности » топ-менеджера , такие , например , как получение « откатов » от поставщиков оборудования и программного обеспечения , взяток за определeнные действия или бездействие , а также расхищение имущества предприятия или финансовые махинации . Такие действия напрямую подпадают под соответствующие статьи Уголовного кодекса Российской Федерации ( в частности , ст . 204 УК РФ – « Коммерческий подкуп »: эта статья предусматривает в том числе и лишение свободы – в самом « тяжeлом случае » до восьми лет ). Но эти « сегменты деятельности » топ-менеджмента , как и наступающие для топ-менеджера последствия , настолько очевидны , что не требуют какого-либо анализа . Поэтому нами будут рассматриваться только те тонкости работы топ-менеджмента , которые связаны с информационной деятельностью предприятия , и те подводные камни в информационной деятельности , которые способны довести топ-менеджмент предприятия « до цугундера ».

Можно выделить следующие важные аспекты информационной деятельности предприятия , на которых топ-менеджмент может довольно легко « поскользнуться и упасть »:

такая организация ( точнее , как раз НЕ организация или неправильная организация ) работы с информацией , составляющей государственную тайну , которая привела к утечке информации ;

неправильная организация работы с информацией , составляющей конфиденциальную информацию и коммерческую тайну , которая привела к ее утечке . В частности , мало кто в настоящее время учитывает , что к конфиденциальной информации относятся персональные данные сотрудников , контрагентов и партнеров предприятия , и организовывает соответствующим образом их обработку ;

желание контролировать работу пользователей и утечки информации с помощью DLP-систем . Если это не организовать должным образом в том числе и с юридической стороны – могут быть весьма неприятные последствия как для компании , так и для самого топ-менеджмента .

Естественно , главную ответственность при выявленных нарушениях хранения и обработки конфиденциальной информации и информации , содержащей коммерческую тайну , а тем более – государственную тайну , несeт руководитель компании – генеральный директор . Но обязательно ответственность лежит и на том , кто в организации непосредственно отвечает за обработку такой информации . Итак , рассмотрим каждый пункт подробнее .

Минимизировать угрозу человеческого фактора в утечке информации из закрытых сетей можно только с помощью специальных программных комплексов мониторинга работы пользователей , включающих в себя элементы DLP-систем

Обработка информации , составляющей государственную тайну , регламентируется Законодательством Российской Федерации , в частности , Законами Российской Федерации № 390-ФЗ « О безопасности » от 28.12.2010 г . и № 5485-I « О государственной тайне » от 21.07.1993 г . Первый описывает общие принципы организации охраны безопасности государства , а второй – непосредственно регламентирует работу с информацией , которая составляет государственную тайну , поэтому топ-менеджменту следует внимательно его изучить .

Отметим , что , как правило , работа со сведениями , составляющими государственную тайну – это прерогатива государственных организаций . Но так как в последнее время стала достаточно распространенной практика передачи работ государственными предприятиями на субподряд частным и акционерным компаниям – топ-менеджмент ( да и не только он : все сотрудники предприятия ) должен знать , как правильно организовывается работа со сведениями , составляющими государственную тайну . Однако перед получением задания на субподряд по обработке такой информации топ-менеджмент должен обеспечить получение предприятием соответствующей лицензии от ФСБ России . Процедура эта непростая и довольно длительная , поэтому следует об этом подумать заранее .

Особое внимание следует уделить ст . 5 Закона « О государственной тайне » – в ней приведен перечень информации , составляющей государственную тайну . Топ-менеджменту предприятия следует определить , является ли информация , с которой работает предприятие , государственной тайной – входит ли эта информация в перечень , приведенный в ст . 5 , и если да , организовывать работу с такой информацией следует в полном соответствии с законом № 5485-I . Пренебрежение этим , скорее всего , гарантированно приведет к последствиям , описанным в заголовке статьи – в случае неизбежной утечки информации топ-менеджмент предприятия будет привлечен к уголовной ответственности : доказанная вина в утечке информации , содержащей государственную тайну , даже непредумышленная , в некоторых случаях может быть приравнена к государственной измене .

Очевидно , что наибольший опыт работы со сведениями , составляющими государственную тайну , имеют государственные организации . Поэтому представляется весьма разумным для коммерческой организации скопировать схемы работы со сведениями , составляющими государственную тайну , используемые государственными предприятиями . Они описаны в соответствующих статьях Закона № 5485-I , и любой топ-менеджер сможет применить эти статьи к деятельности своего предприятия . Отметим основные принципы , которыми следует руководствоваться :

необходимо создать специальную структуру внутри предприятия , которая будет контролировать обработку информации , содержащей государственную тайну ( аналог « первых отделов » на предприятиях СССР ) и пригласить на работу в эту структуру квалифицированных специалистов . В коммерческих организациях обычно название « первый отдел » уже не используется , наиболее часто используемое название – « Отдел по охране государственной тайны »;

организовать специализированные аттестованные рабочие места . Требования к рабочему месту , на котором выполняется обработка информации , содержащей государственную тайну , и порядок аттестации рабочего места определяется как Законом № 5485-I , так и соответствующими подзаконными актами . Аттестация рабочих мест проводится специалистами соответствующих государственных силовых структур , имеющих на это полномочия ;

обеспечить сотрудникам предприятия получение допуска к сведениям , составляющим государственную тайну . Процедура получения допуска описана в подзаконных документах . Без получения такого допуска работа с информацией , содержащей государственную тайну , невозможна в принципе , так как является прямым нарушением закона ;

если специализированные аттестованные рабочие места объединены в сеть , то такая сеть также должна быть аттестованной , кроме того , обязательно должна иметь « воздушный зазор » между собой и Интернетом , т . е . не иметь прямого физического подключения к сетям , имеющим выход в сеть Интернет . Очевидно , что такая сеть полностью защищена от внешних вторжений – проникнуть извне в нее невозможно .

Следуя этим рекомендациям и требованиям закона и подзаконных документов , можно со значительной степенью вероятности утверждать , что с технической точки зрения утечка информации , содержащей государственную тайну , предотвращена . Остается самый важный и трудно контролируемый фактор – человеческий .

Минимизировать угрозу человеческого фактора в утечке информации из закрытых сетей можно только с помощью специальных программных комплексов мониторинга работы пользователей , включающих в себя элементы DLP-систем , например DeviceLock , StaffCop Enterprise и т . д .

Таким образом , можно рекомендовать описанный выше комплекс мер на предприятии ( организационные и технические меры ), обеспечивающий правильность обработки информации , содержащей государственную тайну , и гарантирующий , что к топ-менеджменту предприятия не будет претензий , так как угроза утечки информации практически минимизирована .

Регламенты обработки информации , содержащей коммерческую тайну и конфиденциальную информацию ( в дальнейшем в статье будет использоваться сокращение « КТ и КИ », оно дефакто принято между работающими в сфере информационных технологий и информационной безопасности ), очень похожи на регламенты обработки информации , содержащей государственную тайну . Обработка КТ и КИ также регламентируется действующим законодательством : этому посвящен Закон Российской Федерации № 98-ФЗ « О коммерческой тайне » от 29.07.2004 г . К конфиденциальной информации относятся также персональные данные ( сотрудников предприятия , контрагентов , партнеров предприятия и т . п .), обработка которых регламентируется Законом Российской Федерации № 152-ФЗ « О персональных данных » от 27.07.2006 г .

Следует отметить , что в отличие от перечня сведений , составляющих государственную тайну , который составляется государством и регламентирован соответствующей статьей соответствующего закона , ст . 4 Закона « О коммерческой тайне » явно указывает , что отнесение информации к КТ и КИ – право исключительно владельца этой информации , то есть – как раз топ-менеджмента предприятия . При этом топ-менеджмент не вправе выводить из КТ и КИ персональные данные – согласно Закону « О персональных данных » персональные данные являются конфиденциальной информацией .

Опыт работы автора статьи ( как в ранге рядового сотрудника компании , так и в ранге федерального судебного эксперта при проведении экспертиз в области информационных технологий и информационной безопасности ) в самых различных организациях показывает , что к обработке персональных данных практически в настоящее время относятся « спустя рукава » – мало кто соблюдает требования Закона № 152-ФЗ в полной мере . А ведь в случае утечки персональных данных , результатом которой стал ущерб , причиненный владельцам этих персональных данных , обвинения будут предъявлены именно топ-менеджменту компании , так как за обработку в компании информации , содержащей КТ и КИ , отвечает именно топ-менеджмент ! Безусловно , к ответственности будет привлечен и непосредственный виновник утечки , но выкрутиться топ-менеджменту , свалив все на рядовых исполнителей , точно не удастся .

Учитывая , что уровень ограничения доступа « КТ и КИ » ниже , чем « государственная тайна », при организации обработки информации с уровнем « КТ и КИ » можно заимствовать методику , используемую при работе с информацией , содержащей государственной тайну , с некоторыми поправками .