Если компания хочет надежно защитить рабочие станции сотрудников то

Опубликовано: 07.05.2025

Почему необходимо обеспечить безопасность при работе с системой «клиент-банк»?

Отсутствие внимания к обеспечению безопасности рабочего места, на котором установлена система «клиент-банк», породило целую волну преступлений. Злоумышленники без труда получают доступ к компьютеру, с которого происходит управление финансовыми потоками компании. Иными словами, представьте, что вы ходите в толпе людей с пачкой денег в оттопыренном наружном кармане. Огромное количество незащищенных рабочих мест «клиент-банк» провоцирует воров точно также.

За 9 месяцев 2012 г. «Сбербанк» пресек более 5000 попыток хищения средств физических лиц на сумму более 500 млн. руб., а также свыше 400 попыток хищения средств юридических лиц на сумму более 770 млн. руб. через каналы дистанционного банковского обслуживания.

Из этих цифр можно сделать вывод о том, что онлайн-банкинг крупнейшей кредитной организации страны (сервисы «Сбербанк ОнЛ@йн» и «Клиент-Сбербанк») подвергается атакам более чем 20 раз в день, если учитывать лишь выявленные случаи.

И все же остается еще множество случаев, когда злоумышленникам удается похитить деньги с банковского счета. 11 сентября 2012 года был вынесен первый в России приговор преступной группировке, которая путем получения доступа к компьютерам с системой «клиент-банк» похитила около 13 миллионов рублей со счетов более 170 потерпевших.

Как происходит хищение?

Для получения доступа к компьютеру с системой «клиент-банк» злоумышленникам необходимо заразить его вирусом. Заражение может происходить различными путями:

  • через USB-флеш носители информации;
  • через письмо электронной почты (преступники очень часто рассылают зараженные письма якобы от банков);
  • через взломанные или поддельные сайты;
  • вирус может проникнуть на компьютер через локальную сеть организации с другого компьютера предприятия.

Вирус, обнаружив на компьютере систему «клиент-банк», загружает из сети интернет модуль, который передает злоумышленникам всю информацию. Также модуль позволяет дистанционно управлять зараженной рабочей станцией. Когда преступники получили доступ к системе «клиент-банк», паролям, логинам, информации о банковских счетах, ключам электронной подписи, предотвратить хищение становится невозможным. Поэтому меры по защите должны носить предупреждающий характер.

Вы можете скачать интерактивную анкету в формате MS Excel. Анкета позволяет наглядно отслеживать риски возможности получения несанкционированного доступа к Вашим системам дистанционного банковского обслуживания. Просто ответьте на вопросы анкеты и проверьте защищенность финансовых инструментов. Чтобы скачать анкету, щелкните по значку MS Excel в левой ячейке.

Как защищаться?

Как любой подход к безопасности, защита клиент банка должна быть комплексной. Вы же не выходите из дому, заперев дверь, но оставив все окна настежь раскрытыми.

Самое основное правило: компьютер с системой «клиент-банк» должен использоваться только для работы с этой системой. Ни чтение новостей или любой другой интернет-серфинг, ни получение электронной почты, ни подключение переносных дисков, ни пользование интернет-пейджерами, ни работа с любыми другими программами кроме «клиент-банка» не должны быть доступны пользователям. Запомните: этот компьютер — ваш финансовый инструмент. Вы же не играете кошельком в футбол, а банковскую карту не оставляете в книге в качестве закладки.

Для защиты клиент банка пользовательские права на рабочей станции должны быть максимально ограничены. Заражение компьютера происходит в основном из-за невнимательности или неосторожности, а ограниченный пользователь не сможет запустить вирус.

На рабочем месте должны быть установлены самые свежие обновления операционной системы и антивируса. Большинство вирусов используют уязвимости системы, которые и закрываются обновлениями.

На компьютере необходимо установить и настроить сетевой экран так, чтобы был запрещен любой сетевой трафик кроме связи с банком, обновлений системы и антивируса. Это позволит предотвратить отсылку информации злоумышленникам даже в случае заражения. А для предотвращения заражения по локальной сети, рабочее место необходимо поместить в отдельную виртуальную сеть (VLAN).

Не оставлять носители с электронными ключами-подписями подключенными к компьютеру. В идеале, вместо флешек или дискет необходимо использовать защищенные токены. Настроить систему на автоматическую блокировку и переход в режим сна при отсутствии активности пользователя в течении 5 минут.

Также стоит помнить, что безопасность необходимо поддерживать постоянно. Поэтому необходимо организовать регулярные регламентные операции по проверке компьютера на уязвимости и соответствия защиты выбранным критериям безопасности.

Для защиты от недобросовестных сотрудников, рекомендуется расположить рабочее место в отдельном помещении, которое контролируется системой видеонаблюдения и СКУД.

Бюджетным решением защищенного рабочего места может стать обыкновенный нетбук, настроенный в соответствии с рекомендациями. Это недорогое устройство можно прятать в сейф и выдавать ответственному сотруднику при необходимости. Но необходимо строго помнить о безопасности: подключение к сети должно производиться по проводному соединению, а не по крайне уязвимой сети WiFi.


Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.

Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.

Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.

Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.

Выберите информацию, которую стоит защитить

Компании хотят защитить информацию, которая помогает им зарабатывать.

В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.

Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.

Есть перечень сведений, которые нельзя скрывать:

  1. Информация, которая разрешает заниматься бизнесом: учредительные документы, данные о регистрации.
  2. Сведения о том, что работа компании не вредит людям: отчеты о загрязнении окружающей среды, противопожарной безопасности компании, санитарно-эпидемиологическом состоянии производства и другие.
  3. Информация, которую законы запрещают держать в секрете: годовая бухотчетность АО, задолженность компании по налогам, потребительская информация о товаре и другие.

В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:

— Способы и принципы ценообразования

— Маркетинговые исследования и рекламные кампании

— Технологические сведения о продукции

— Особенности производственных процессов

— Информация о методах управления и внутренней организации предприятия

— Состав и квалификация персонала

— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое

— Задолженность по зарплате

— Список лиц, которые могут представлять организацию без доверенности

Защитите секретную информацию от сотрудников и сторонних партнеров

Чтобы защитить секретные данные, компании нужно пройти четыре шага:

  • Ввести режим коммерческой тайны.
  • Заключить с сотрудниками договоры на создание продуктов.
  • Защитить интеллектуальную собственность.
  • Ввести режим конфиденциальности с внешними партнерами.

Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.

Чтобы ввести режим коммерческой тайны, компании нужно:

  1. Разработать положение о коммерческой тайне и конфиденциальности.
  2. Ознакомить с ним сотрудников под подпись.
  3. Создать условия для хранения секретных документов.
  4. Обозначить всю ценную документацию грифом «Коммерческая тайна».
  5. Вести журнал доступа к конфиденциальным сведениям.

Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.

Подробнее об этом расскажем в следующих статьях.

Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату

Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.

В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.

Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.

Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.

Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.

Компания не заключила договор с сотрудником и потеряла разработанный продукт

Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.

«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.

Защитить интеллектуальную собственность компании. Вы можете защитить:

  • Объекты авторского права: видео- и аудиозаписи, литературные произведения, картины, логотипы, базы данных, программы.
  • Товарные знаки.
  • Промышленную собственность: изобретения, промышленные образцы, полезные модели.
  • Секреты производства (ноу-хау): любые сведения, имеющие потенциальную или действительную коммерческую ценность.

Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.

Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.

Режим конфиденциальности может сработать и в более мирных условиях.

Без коммерческой тайны ввести режим конфиденциальности нельзя.

Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽

По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.

Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.

Когда секретная информация защищена сама по себе

Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:

Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.

Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.

Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.

Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.

Наказать за раскрытие коммерческой тайны

Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:

В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.

Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно

Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.

Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.

В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.

Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.

ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф

ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.

Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.

Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.

Главное

Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.

Для защиты ценной информации:

  1. Введите в компании режим коммерческой тайны.
  2. Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
  3. Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
  4. Введите режим конфиденциальности с партнерами.

За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.

Компании устанавливают наблюдение, чтобы контролировать работу персонала и защититься от преступлений. Но сотрудники должны знать о камерах и прослушке, и дать свое согласие на слежку. Разобрались, как наблюдать за сотрудниками и не нарушать закон.

Еще о сотрудниках:

Юрий Кочергин

Следить за сотрудниками — это законное право работодателя

Конституция говорит, что каждый имеет право на тайну личной переписки и телефонных переговоров. Ограничить это право может только суд. Но это касается только личной жизни, на работе другие правила.

Работодатель имеет право следить, как сотрудники выполняют обязанности и используют рабочее оборудование. А еще обязан заботиться о жизни и здоровье сотрудников.

Работодатель может заходить на производство и смотреть через плечо, как токарь вырезает детали, контролировать технику безопасности и особенности технологических процессов, чтобы избежать травм на производстве. А может поставить видеокамеры и следить за процессами на мониторе — разницы нет.

К оборудованию относятся и станки в сварочном цеху, и рабочая электронная почта, и касса, и рабочий телефон. Приходить на работу вовремя — это тоже обязанность сотрудника, и работодатель может это контролировать.

Зачем нужно следить за сотрудниками

За сотрудниками можно наблюдать, чтобы выявить слабые места в организации рабочего процесса, контролировать общение с клиентами, вычислять нечестных людей. Еще контроль нужен, чтобы защитить компанию и работников от корпоративного шпионажа, мошенничества, преступлений и травм на производстве.

Ситуации бывают разные:

Бариста постоянно опаздывает, и кафе теряет утренних посетителей, которые по дороге на работу спешат выпить кофе. Или в кассе стали пропадать деньги, и нужно найти, кто их забирает.

В частной клинике стоит дорогое оборудование. Сотрудники могут его сломать или перепутать анализы.

Сотрудники отдела продаж не предлагают клиентам дополнительные услуги и продажи падают. Нужно проследить, чтобы они работали по скриптам.

Есть несколько способов контролировать работу сотрудников:

  • видеокамеры. По камерам видно, чем работники занимаются на местах и во сколько уходят с работы. Видеонаблюдение также используют, чтобы следить за кассой или на случай конфликта с клиентом
  • системы доступа. Они считывают отпечаток пальца или личную карточку сотрудника. Так можно узнать, кто опаздывает на работу и часто бегает покурить;
  • компьютерные трекеры. Эти штуки следят за интернет-трафиком, блокируют соцсети, считают время на развлекательных сайтах, записывают телефонные разговоры;
  • джипиэс-трекеры. Нужны, чтобы отслеживать маршрут автомобиля, время за рулем и расход топлива.

Теперь подробнее о каждом способе.

Следить через камеры

Закон дает право устанавливать видеонаблюдение на рабочем месте: в торговом зале, офисе или над прилавком. Нельзя наблюдать за сотрудниками в их личное время — в столовой, когда они ходят на обед, на перерывах в курилке, душевой или туалете.

Чтобы законно наблюдать за сотрудниками через камеры, нужны выпустить положение о видеонаблюдении и прописать условия в трудовом договоре.

Для старых сотрудников подойдет дополнительное соглашение к трудовому договору, новым дают уже готовый договор с пунктом о наблюдении. Сотрудники читают положение и расписываются в журнале ознакомления персонала с регламентом о введении видеофиксации. Подпись подтверждает, что им всё понятно и они согласны на съемку.

Предупредить сотрудников о начале видеофиксации и подписать дополнительное соглашение к трудовому договору нужно за два месяца до того, как начнут действовать новые правила.


Видеосъемку можно использовать, чтобы улучшить бизнес-процессы.

Работодатель видит, что в обеденное время в кофейне собираются очереди. Оказывается, сотрудники долго ищут сдачу и деньги на размен, потому что в кофейне нет терминала. Владелец бизнеса ставит терминал: видеонаблюдение помогло сократить очереди.

С помощью видеосъемки можно доказать нарушения: прогулы, воровство, хамское отношение к клиентам или употребление алкоголя на рабочем месте. За нарушение можно уволить по статье, а если сотрудник решит оспорить увольнение, видео станет доказательством в суде. Вместе с видеозаписью суд попросит доказать, что сотрудники дали согласие на съемку и знали о наблюдении.

Записи с камер нельзя использовать в личных целях. Нельзя выкладывать ролики в интернет, чтобы посмеяться над чьей-то оплошностью, или передавать видео посторонним.

Владелец компании в Краснодарском крае установил камеры видеонаблюдения в офисе. Сотрудницы решили, что съемка нарушает их конституционное право на неприкосновенность частной жизни. Они не знают, где расположен сервер, на который идёт запись, и при каких условиях хранится отснятая информация, снимаются ли копии с данных видеоматериалов, и в каких целях будут использованы отснятые видеоматериалы. В иске работницы указали, что после установки камер у них ухудшились условия труда, работоспособность и здоровье. По их словам, они переодевались в кабинете, принимали лекарства и делали личные звонки, и их поведение на рабочем месте подпадает под определение персональных данных.

Суд посчитал установку видеонаблюдения правомерной, а требования сотрудниц отклонил.

Компании, которая установила видеокамеры, не нужно регистрироваться как оператор персональных данных.

Видеозаписи могут просматривать ответственные за это сотрудники, их указывают в регламенте видеофиксации. Если в торговом зале кого-то обокрали и преступление попало на камеры, видео можно передавать полиции. Нельзя выкладывать видеозапись в интернет, даже если это поможет опознать преступника. В некоторых случаях это может помешать следствию, а еще нарушает права сотрудников.

Отслеживать интернет-трафик и читать переписку

Чтобы следить за рабочим оборудованием, согласие сотрудника не нужно. Поэтому можно прослушивать рабочие телефоны и проверять компьютеры. Личную технику прослушивать нельзя , даже если ее используют для работы.

Андрей в рабочее время с рабочего компьютера зашел в личную почту и стал переписываться с подругой. Работодатель увидел это в программе и выписал штраф. Андрей возмущен: нарушена тайна его личной переписки. Но в этой ситуации он неправ — пользоваться рабочим оборудованием в личных целях нельзя.

Если компания не установила строгие правила, работодатель не может просматривать личную переписку.

Ручную проверку трафика проводят редко, обычно в компаниях устанавливают трекеры для отслеживания активности. Такие трекеры хранят историю просмотров, имеют доступ к переписке и могут делать скриншот рабочего стола в любое время. Если во время скриншота в активном окне окажется личная переписка сотрудника, это проблемы сотрудника, работодатель имеет право ее прочитать.

Сотрудник в рабочее время использовал корпоративную почту и личный почтовый ящик. С помощью программ слежения работодатель заметил, что сотрудник разглашает коммерческую тайну, и уволил его. Сотрудник не согласился, пришлось судиться.

Суд принял переписку с личной почты как доказательство и не посчитал это нарушением личных границ.

Отмечать время ухода и прихода на работу

Для систем учета и трекеров согласие сотрудников не нужно. Можно отмечать время вручную в журнале или ставить системы учета на входе в офис.

Журнал учета должен вести один из сотрудников. Он отмечает время прихода и ухода, а сотрудники расписываются, что всё верно. С журналом удобно считать переработки и отгулы.


Системы доступа считывают отпечаток пальца или карточку — прикладываешь к датчику и проходишь. С такими системами можно проверить график работы, количество перекуров и отлучки сотрудников. Еще они следят, чтобы в офис или цех не зашли посторонние.

Отслеживать передвижения

Работодатель имеет право отслеживать передвижения по джипиэс. Правило касается рабочих автомобилей и личных, если компания оплачивает сотруднику амортизацию и бензин. Трекер показывает, где была машина в определенный момент, и по какому графику работал водитель. Еще можно устанавливать трекер на рабочий мобильный телефон, если сотрудник работает на выезде, но без автомобиля.

С топливом немного сложнее: опытные водители умеют сливать бензин, а недостачу оправдывают особенностями работы двигателя. Но зато работодатель может увидеть, что водитель уже 12 часов за рулем и подвергает опасности свою жизнь и груз.

Чтобы было проще понять, собрали все способы слежения за сотрудниками в одну таблицу:

Фото с сайта wifi.kz
Фото с сайта wifi.kz

Утечка информации в компаниях — актуальная проблема, даже при наличии в наше время специального оборудования и прописанного на эту тему законодательства. Мы подобрали несколько полезных материалов о том, как защитить коммерческую тайну, как правильно проверять сотрудников — и стоит ли это делать, как наладить систему защиты от утечки информации и элементарно защитить электронную почту.

Как защитить коммерческую тайну своей компании от незаконного использования и разглашения? Вопрос сейчас, когда на рынке труда так много стартапов, генерирующих идеи и проекты, особенно актуален. Хотя касается это не только ноу-хау.

Важно определиться, что для вашей компании является секретной информацией, что ни в коем случае нельзя разглашать сотрудникам. Затем — составить Положение о коммерческой тайне и Соглашение о конфиденциальности (соглашение о передаче нераскрытой информации) — вместо или в дополнение к положению о коммерческой тайне.

Еще один способ контролировать распространение коммерческой тайны — соглашение о непереманивании сотрудников и соглашение о неконкуренции. Правда, белорусское законодательство на данный момент не признает такие соглашения. Первое трактует как ограничение конкуренции, а второе — как ограничение трудовых прав работника, предусмотренных Конституцией.

Помните, как только информация становится публичной и общедоступной — ее невозможно больше квалифицировать как коммерческую тайну.

О том, какие меры обеспечивают коммерческую тайну и как правильно составить внутреннее положение о коммерческой тайне и другие документы, читайте здесь.

Фото с сайта expocom.ru

Фото с сайта expocom.ru

Возможно ли предотвратить утечку коммерческой информации из компании автоматически? Ответ: да. Компания SQUALIO рассказывает про DLP-систему (Data Leak Prevention) — программный комплекс для предотвращения утечек данных.

Как это работает: на корпоративный сервер и рабочие компьютеры устанавливается программный комплекс, перехватывающий все коммуникации сотрудников. Начинается мониторинг переписки в мессенджерах, веб-активности, принимаемых и отправляемых писем электронной почты, запуска приложений и всей прочей деятельности. В случае утечки данных система блокирует это и уведомляет сотрудника, ответственного за безопасность компании. Предоставляет ему информацию, необходимую для оперативного расследования инцидента.

Одна из популярных причин утечек — большинство работников искренне считают, что результаты их труда принадлежат им, а не компании.

Что нужно сделать, чтобы система, предотвращающая утечку коммерческой информации из компании, работала эффективно:

  • Подготовить компанию к запуску системы защиты от утечек
  • Подготовить персонал к изменениям
  • Прописать в контрактах соблюдение режима коммерческой тайны

Подробно об этом комплексе и принципах работы с ним читайте здесь.

Фото с сайта ukravestbud.com

Фото с сайта ukravestbud.com

Важным моментом в защите информации является надежность электронной почты. Но до сих пор многие компании используют в работе небезопасные бесплатные почтовые сервисы, а сотрудники для работы — личные ящики на этих бесплатных сервисах.

Какой же электронной почтой можно пользоваться:

  • Купить домен и пользоваться только безопасной корпоративной почтой.
  • Завести онлайн-почту в собственном домене
  • Арендовать почтовый сервер у провайдера

Эксперты рекомендуют использовать двухэтапную аутентификацию Google при помощи SMS или звонка — барьер, который усложняет злоумышленникам доступ к вашим данным (не только к почте). Интернет-банкинг, аккаунты в соцсетях, учетная запись в iCloud, почтовые ящики, служебные учетные записи — все это стоит защитить двухфакторной аутентификацией. Еще один хороший вариант для защиты ваших данных — физический токен Yubico. К примеру, Google предлагает умные токены, сделанные стартапом силиконовой долины YubiKey (отсюда и название). Они похожи на маленькие устройства, похожие на те, которые нередко используются для входа в систему «Интернет-банк». Только вместо ввода PIN и набора кода в браузере, вы просто подключаете токен в USB-порт компьютера без введения паролей. Установка этого устройства будет подробно расписана в инструкции, которая прилагается при его покупке.

Подробно о базовых мерах защиты «почтового ящика» и что делать, если его взломали, читайте здесь.

Фото с сайта keddr.com

Фото с сайта keddr.com

В качестве одного из методов контроля и предотвращения утечки важной информации некоторые компании используют видеонаблюдение и прослушивание, а также программы-шпионы для скрытого слежения за компьютером.

Плюс этих способов — возможность предотвратить или больше узнать о служебных преступлениях.

Большой минус в том, что сотрудники могут чувствовать недоверие руководства, и их лояльность к компании сильно снижается.

Обратите внимание, что, на установку видео- и аудионаблюдения нужно письменное согласие сотрудников. На анализ видео- и аудиозаписей нужно потратить время.

Как узнать, насколько эффективно сотрудники используют рабочее время и нуждаются ли в дополнительном контроле, читайте здесь.

Фото с сайта smart-bezpeka.com.ua

Фото с сайта smart-bezpeka.com.ua

Если все же кардинальные меры необходимы, то вот полезный материал о том, как не нарушить закон и права сотрудников при использовании полиграфа, средств видео- и аудиоконтроля, и как обеспечить соблюдение коммерческой тайны сотрудниками.

Малоизвестный факт: использование полиграфа в коммерческих организациях и не разрешено, и не запрещено на уровне законодательства.

Для проведения, например, собеседований с применением полиграфа существуют инструкции, составленные для государственных предприятий.

Но при проведении опроса с применением этого инструмента должны соблюдаться личные неимущественные права опрашиваемых, т.е. не могут быть заданы вопросы, нарушающие неприкосновенность частной жизни.

А если работник отказывается пройти проверку на полиграфе, то это не может быть причиной отказа в приеме на работу, увольнения, применения мер дисциплинарного взыскания.

Что касается камер видеонаблюдения, то об их установке обязательно должны уведомлять сотрудников, а в помещениях с камерами — размещать информационные таблички о том, что ведется видеонаблюдение и (или) звукозапись.

Какие еще особенности установки специальных устройств контроля существуют, читайте здесь.


И в завершение — альтернативный взгляд на то, стоит ли отслеживать жизнь в офисе буквально по минутам и следить за сотрудниками. Интересным кейсом на эту тему поделился управляющий консалтинговой компании «Изи Штандарт» Андрей Цыган.

Автоматизированная система учета рабочего времени, которая есть в компании, может отслеживать отвлечение сотрудников на новости и соцсети, их отсутствие на рабочем месте, а также активность в рабочее время. Но пользуются ей, скорее, для понимания общих тенденций в организации работы в коллективе, а также — чтобы увидеть и поблагодарить тех, кому приходится по рабочим вопросам задерживаться в офисе.

«Для меня важно увидеть за день каждого сотрудника. А по его лицу понять, все ли в порядке».

Получить представление о рабочем процессе в компании в режиме онлайн помогает CRM-система, в которой, кроме прочего, есть также лента событий. Она напоминает аналогичную ленту в Facebook, но все сообщения касаются только бизнеса. И каждое действие сотрудников из отдела продаж видно в той последовательности, в которой совершается.

Позиция руководителя — предоставить подчиненным удобный инструмент, который сделает работу прозрачной. Тогда и следить за ними надобности не будет.

«Какими бы экспертами ни были ваши сотрудники, они, в первую очередь, люди со всеми слабостями и возможными ошибками. Нужно всегда помнить об этом», — говорит Андрей Цыган..

О том, как руководителю видеть всю работу сотрудников, но при этом не пугать их контролем, читайте в материале.

Фото предоставлено автором

Фото предоставлено автором


На моей бывшей работе сотрудники заходили в офис и перемещались между отделами по электронным пропускам. В конце каждого месяца в службе безопасности распечатывали отчет и смотрели, когда мы пришли на работу, в какие отделы ходили и как долго там были.


В кабинетах стояли видеокамеры. Сотрудники не знали, когда их установили — об этом никого не предупредили. Разберемся, законно ли следить за сотрудниками и в чем мой бывший работодатель был неправ.

Как правило, работодатель использует слежку, чтобы контролировать сотрудников. Смотреть, чем они занимаются на рабочих местах, как обслуживают клиентов, не бегают ли на перекур каждые полчаса.

Согласно Конституции, каждый имеет право на тайну переписки и телефонных переговоров, лишить этого права может только суд. В то же время Трудовой кодекс РФ разрешает работодателю контролировать сотрудников и следить, как они используют офисное или производственное оборудование.

Получается, по Конституции сотрудник имеет право на личную неприкосновенность вне работы, а на работе действует ТК РФ — и он не имеет никакого отношения к личной жизни. Но на самом деле все не так однозначно.

По закону работодатель имеет право контролировать рабочие места, но в некоторых случаях сотрудник должен об этом знать и согласиться с контролем письменно. Для этого можно использовать трудовой договор или внутреннюю документацию.

На практике компании чаще всего используют видеонаблюдение, электронные пропуска, программы для контроля интернет-трафика и переписки по электронной почте. Расскажу, как законно их применять.

Видеонаблюдение — одна из распространенных мер контроля на работе. Камеры можно встретить в магазинах, кафе, автосалонах, салонах красоты — везде, где работают люди.

Чтобы наблюдать за сотрудниками, обязательно их согласие. Ведь в рабочее время человеку может позвонить родственник или друг, а личный разговор — уже частная жизнь. Собирать и хранить подобную информацию можно только с согласия человека. Обязательно оповестите сотрудников о видеонаблюдении, чтобы избежать претензий о вмешательстве в личную жизнь.

Оформить согласие на видеосъемку с новыми сотрудниками можно с помощью трудового договора или должностной инструкции. Для уже работающих сотрудников можно сделать дополнительное соглашение к трудовому договору и отдать им на подпись. Предупредить нужно за два месяца до установки оборудования.

Видеосъемку можно использовать как основание для увольнения работника или как доказательство в суде. Если сотрудник не даст своего письменного согласия, то использовать съемку не получится.

Например, в Москве работодатель лишил сотрудника премии за опоздание на работу. Доказательством послужила видеозапись с рабочего места и проходной. Работник не согласился с работодателем и пошел в суд, но проиграл.


Работодатель имеет право отслеживать интернет-трафик и читать переписку, которую сотрудник ведет с рабочего или личного почтового ящика, используя рабочий компьютер. Чтобы контролировать переписку и трафик, согласие работника не требуется.

Одна из обязанностей компании — обеспечить сотрудника рабочим оборудованием, которое он должен использовать только в рабочих целях. Компьютер, программа, корпоративная почта — все это принадлежит организации, и работник не имеет права использовать чужую собственность для решения личных вопросов.

Но компания не может просто взять и взломать личный почтовый ящик — это вторжение в личную жизнь. Чтобы все было по закону, организации используют специальные программы для отслеживания трафика. Они контролируют входящую и исходящую информацию и фиксируют адреса пересылки.

Сотрудник службы безопасности видит, что рабочую информацию пересылают с офисного компьютера на личную почту, и может перехватить файлы. И если внутренними правилами такая пересылка запрещена — есть основания для служебной проверки. По итогам проверки директор решает, что делать с нарушителем.

Например, сотрудника ЗАО «Интеллектуальные технологии» уволили за то, что он с рабочего компьютера отправлял на личный почтовый ящик рабочую документацию компании и прайсы. Сотрудник обратился в суд, но проиграл дело.


Компания может установить электронную пропускную систему — для этого не нужно согласие работников. Каждому сотруднику выдают именную карточку, по ней видно, когда он пришел и во сколько ушел.

Все данные из электронной системы можно распечатать и пофамильно проверить каждого работника. Вместо электронной системы можно использовать и обычную тетрадку. В ней работники отмечают время прихода на работу и ухода домой. Каждый сотрудник обязательно ставит подпись.

Информацию из распечатки работодатель может использовать в суде, чтобы обосновать увольнение сотрудника. Например, в Москве сотрудница опоздала на работу дважды и ее уволили. Суд встал на сторону работодателя.


Для увольнения вы использовали видеозапись, сделанную вне рабочего места, например, разговор в курилке или столовой — можете получить штраф. Для должностных лиц предусмотрено предупреждение или штраф в 1000—5000 ₽, для ИП — в 1000—5000 ₽, для компаний — в 30 000−50 000 ₽.

Если кто-то выложит в сеть видео, на котором сотрудники говорят о личном не на рабочем месте, а согласия на запись нет, то можно заплатить 200 000 ₽ или отдать зарплату за 18 месяцев. Могут лишить права работать в должности три года или лишить свободы на срок до двух лет.

Читайте также: