25 января 2016 г.

Между правами, обязанностями и свободами

По просьбе Ассоциации Business Information Security (BISA) написал небольшую статью о режиме коммерческой тайны в организации. Для удобства читателей блога – привожу ее текст ниже.
Задайте себе тривиальный вопрос, есть ли в вашей организации коммерческие секреты, и ответ на него неизбежно окажется столь же тривиальным. Но вот на вопрос, что же с этими секретами делать, простого ответа нет. И годами не стихают споры между сторонниками и противниками установления жесткого контроля над информационными потоками и техническими средствами.
«А на фига?»
С момента появления в Гражданском кодексе РФ ст. 139, определявшей коммерческую тайну (сегодня эта статья утратила силу), а особенно после принятия в 2004 г. специального закона № 98-ФЗ «О коммерческой тайне» в профессиональной среде не утихают споры, суть которых чаще всего сводится к вопросу черного ворона из поэмы А. Вознесенского: «А на фига?». Пессимисты справедливо указывают, что меры защиты секретов, предлагаемые законом, безнадежно устарели и как-то уж очень подозрительно напоминают рекомендации режимщика-пенсионера из 1-го отдела. Все эти грифы, ознакомления под роспись с разработанными не для бизнеса, а для его защиты нормативными актами, учеты осведомленности и прочие посыпанные нафталином меры, извлекаемые из опыта прошлого, а то и позапрошлого века, вызывают оторопь и неприятие у современного бизнесмена.
Требование закона об обязательности установления контроля над соблюдением порядка обращения с информацией, составляющей коммерческую тайну, ситуацию только усугубляет. В организации, задумавшейся о вводе режима коммерческой тайны, тут же находятся доморощенные «правозащитники», громогласно цитирующие нормы Конституции о неприкосновенности частной жизни, праве на личные секреты, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, которая может быть нарушена только по решению суда. Правда, эти блюстители privacy очень не любят, когда кто-то вспоминает другую норму основного закона: осуществление прав и свобод гражданина не должно нарушать права и свободы других лиц.
Специально для любителей ссылок на Конституцию и неприкосновенность личной жизни на рабочем месте цитирую решение одного из судов по этому вопросу: «Ссылку истца на нарушение ст. 23 Конституции РФ, ч. 2 ст. 55 ГПК РФ суд считает несостоятельной, поскольку информация была извлечена из компьютера, установленного на рабочем месте истца и используемого для осуществления трудовой функции».
Собственно, на этом тему правомерности контроля можно было бы закрыть, но на всякий случай – еще два аргумента. Во-первых, в Уголовном кодексе есть ст. 138.1 «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации». И мне не доводилось слышать, что по ней привлекали производителей или продавцов DLP-систем. Тех, кто заказали в Китае ручки или часы со встроенными камерой и микрофоном, – пожалуйста, а вот производителей средств контроля над доступом к информации – ни разу.
Во-вторых, нередко можно от кого-нибудь услышать, что, мол, недавно работодателя привлекли к ответственности за нарушение тайны переписки, но я ни разу не получил конкретного ответа на просьбу дать ссылку на такое решение суда. Зато более чем достаточно решений, которые основаны на предоставленных работодателем доказательствах «слива» информации, полученных его айтишниками или безопасниками путем анализа, например, электронной почты.
Вот – цитата из определения суда кассационной инстанции 2014 г., оценивавшего возможность рассмотрения жалобы на апелляционное решение, по которому было признано правомерным увольнение работника за разглашение секретов. «К генеральному директору поступила служебная записка директора Департамента информационных технологий, из которой следует, что в ходе проведения контрольной проверки использования корпоративной почтовой системы сотрудниками компании был установлен факт отправки пакета документов на внешние адреса электронной почты, не принадлежащие компании». Суд эту докладную, как и остальные предоставленные ответчиком материалы, рассмотрел, увольнение признал законным и жалобу не принял.
Или – еще одно решение как контрдовод тем, кто считают, что собрать доказательства неправомерных действий сотрудника работодатель не может: «Комиссия во исполнение приказа генерального директора провела проверку на предмет нарушения коммерческой тайны и установила, что ХХХ имела доступ к служебной информации, охраняемой режимом коммерческой тайны, и допускала нарушения этого режима: с использованием персонального компьютера она переписала на личную флэш-карту 57 файлов, содержащих конфиденциальную информацию, и передала по электронной почте третьим лицам сведения о планируемых у заказчика объемах работ и их стоимости».
Что тут думать, трясти надо!
В конечном счете, устанавливая режим коммерческой тайны, обладатель охраноспособной информации решает несколько задач. Он создает правила работы, четко свидетельствующие о недопустимости использования определенной информации вне установленных процедур, контролирует выполнение этих правил и повышает общую дисциплину документооборота, наконец, создает условия для привлечения виновных в нарушении правил к ответственности – дисциплинарной, уголовной, гражданско-правовой. 
Цитата из судебного решения – для тех, кто считает бесперспективным сбор доказательств вины сотрудника за разглашение коммерческой тайны, объективных и субъективных фактов дисциплинарного нарушения с целью увольнения этого работника. «Довод апелляционной жалобы истца о том, что судом не установлено наличие либо отсутствие ущерба, причиненного ответчику в результате действий истца, несостоятелен, поскольку не имеет правового значения и не может повлечь отмену вынесенного по делу решения».
В некоторых случаях даже наличие или отсутствие грифа секретности на документе не является решающим фактором для привлечения «разгласителя» к ответственности. Гораздо важнее, как определены права и обязанности участников правоотношений, связанных с коммерческими секретами.
Случаев привлечения к уголовной ответственности по ст. 183 – очень много: с реальными и условными сроками, большими и маленькими штрафами... Статья работает, если обладатель информации, составляющей коммерческую тайну, действительно заботится о ее сохранности, если его сотрудники и контрагенты знают о возможных последствиях разглашения, «слива» или неправомерного использования тайны.
Ну а теперь вернемся к вопросу, упомянутому в начале статьи: «Есть ли в вашей организации секреты?». Чаще всего на него дает ответ договор с контрагентом, гласящий примерно следующее: «Все сведения о деятельности сторон, полученные ими при заключении, изменении, исполнении и расторжении договора, а также сведения, вытекающие из содержания договора, являются коммерческой тайной и не подлежат разглашению третьим лицам в течение срока действия договора и … лет после его окончания». Но без режима коммерческой тайны и предусмотренных законом мер охраны конфиденциальности эти слова ничего не значат.
Вот что решил арбитражный суд, рассмотрев иск о неисполнении условий договора и разглашении цен продажи: «В отношении сведений о порядке расчетов за услуги по передаче электроэнергии стороны договора перечень информации, составляющей коммерческую тайну, не определяли, порядок обращения с данной информацией и контроль над его соблюдением не установлен, учет лиц, получивших допуск к конфиденциальной информации, не осуществлялся, текст договора не содержит грифа «Коммерческая тайна» с указанием обладателя такой информации». В результате суды первой, апелляционной и надзорной инстанций совершенно справедливо пришли к выводу, что передача третьим лицам информации, четко не определенной в договоре, закона не нарушает, и в возмещении убытков истцу отказали.
Судебная практика по делам, связанным с коммерческой тайной, в нашей стране велика и разнообразна. Ее ведут суды всех инстанций – от районных до Верховного и Конституционного. Есть достаточно четкое понимание того, в каких случаях и почему права обладателей секретов защищаются, а в каких – нет.
Почему же не прекращаются споры о коммерческой тайне среди специалистов по ИБ? Выскажу не очень приятную для нашего сообщества мысль: в большинстве организаций, обращающихся в суды, ИБ-служб нет. Вообще. С нарушителями судятся хлебозаводы и маленькие компании, торгующие по почтовым каталогам, Интернет-провайдеры третьего уровня, Интернет-магазины и разработчики софта. Какая связь? Очень простая. Путь к режиму коммерческой тайны проходит не через службу ИБ, а через бизнес-подразделения. И пока они не осознают ценность режимных мер, коммерческая тайна в организации не появится.
А в заключение – по поводу устаревших механизмов защиты коммерческих секретов. Пока мы спорим, надо ли делать, некоторые делают. Создают новые системы и средства защиты таких секретов, о которых, как правило, не услышишь на российских конференциях. Используют новые технологии, развивают и обеспечивают бОльшую доступность известных технологий, по каким-то причинам не получивших распространения. Но об этом – как-нибудь в другой раз.

18 января 2016 г.

Где и когда поговорим о контроле и надзоре

За последние дни к нам поступило много запросов с просьбами прокомментировать те или иные аспекты проведения проверок выполнения законодательства о персональных данных. Один из наиболее частых вопросов – где в ближайшее время будем рассказывать о проведении контрольных мероприятий Роскомнадзором в 2016 году.
25-26 января – первый в этом году курс «Защита персональных данных», который я провожу в Учебном центре «Информзащита» уже почти 9 лет. Мы решили радикально изменить содержание темы «Контроль и надзор за соблюдением законодательства о персональных данных», полностью отказаться от рассмотрения так и не подписанного проекта «Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации». Вместо этого будет детально рассмотрен «Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», а также особенности планирования контрольной деятельности Роскомнадзора в 2016 году. Больше внимание будет уделено набирающей силу практике систематического наблюдения за деятельностью операторов персональных данных.
Конечно, будут добавлены примеры из судебной практики, из материалов проверок и Научно-практического комментария к закону «О персональных данных», подготовленного специалистами Роскомнадзора, иллюстрирующие существующие на сегодняшний день подходы к требованиям законодательства. В частности, слушатели курса узнают, почему работодателю опасно сканировать и хранить паспорт и иные документы работника, можно ли привлекать к взысканию долга коллекторов и иные организации, и как на это смотрят суды и надзорные ведомства, имеет ли право кассир в магазине требовать паспорт у покупателя и многое другое.
Как обычно, поделюсь опытом реализации нашим агентством проектов по персональным данным в различных отраслях, в том числе, в иностранных и  международных компаниях
Точно, что скучно не будет!

13 января 2016 г.

С новым рабочим годом. Читаем планы проверок Роскомнадзора. Часть 2

Продолжаем начатый во вчерашнем посте анализ плана проверок. В СЗФО все гораздо сложнее и запутаннее. Планов несколько.
В «Плане проведения проверок органов местного самоуправления и должностных лиц местного самоуправления на 2016 год» 5 муниципальных органов, все проверяются по персональным данным. Первая из проверок по плану должна была начаться позавчера, 11 января, в первый рабочий день после длинных каникул. В «Плане проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2016 год» ни одной проверки по персональным данным нет.
Но зато в «Плане деятельности Управления Роскомнадзора» по Северо-Западному федеральному округу в 2016 году» картина совсем иная. Там два интересных раздела: «3.4. Осуществление контроля за соблюдением обязательных требований в сфере защиты прав субъектов персональных данных», в котором предусмотрено 20 мероприятий систематического наблюдения (об этом направлении деятельности надо писать отдельно, может быть, несколько позже удастся) и «Организация и проведение государственного контроля (надзора) за соответствием деятельности операторов, осуществляющих обработку персональных данных, являющихся государственными органами, юридическими и физическими лицами, требованиям законодательства Российской Федерации в области персональных данных». В этом разделе четкой линии и направленности, как в ЦФО, я не увидел. Несколько вузов и других образовательных учреждений, банк «Санкт-Петербург», «Несте» (сеть заправок с финским участием), «Госзнак», кабельная сеть, колл-центр, пара предприятий ЖКХ.
Из интересного и вписывающегося в концепцию – питерское подразделение «Бритиш Американ Тобакко», «В Контакте» (так в плане), «Ти-Джей Трэвел», «Кронвелл Отель Менеджмент», «Бентли» (ох, уж эти автолюбители!), «Единый визовый центр», «Две палочки» (привет «Макдоналдсу»!), «Негосударственный пенсионный фонд Оборонно-промышленного комплекса». В целом довольно скучно, учитывая резидентов Питера и окрестностей.
Зато про планирование в Вологодской области читал, как детектив. Изначально план был утвержден 29 октября прошлого года, и в нем 13 из 17 проверок затрагивали тему персональных данных. Руководителем территориального органа было приказано отправить план на согласование в прокуратуру. 25 ноября его же приказом № 168 все проверки по персональным данным были… из плана исключены: 10 просто удалены, в оставшихся трех тема была изменена на выполнение лицензионных условий в области связи и использование радиочастотного спектра. Итого в плане осталось 7 проверок, и все не про персональные данные. В обоснование этих действий в приказе указаны любимый 242-ФЗ, а также 294-ФЗ, положение о территориальном управлении и письмо Генеральной прокуратуры от 29.10.2015 № 76/2-547-2015. Тоже тема для анализа.
В УрФО две проверки муниципалов. По теме «проверка соблюдения обязательных требований в сфере обработки персональных данных» территориальное управление будет проверять Администрацию городского округа Верхняя Пышма вместе с территориальными управлениями Федеральной службы государственной регистрации, кадастра и картографии и Федеральной службы по ветеринарному и фитосанитарному надзору, а Администрацию Артемовского городского округа – вместе с Минстроем, Минприродресурсов области, автодорожным надзором, тем же ветеринарным и фитонадзором, а также Роспотребнадзором. Без комментариев. Среди не-госов в план первоначально были включены потребительский кооператив «Народный капитал», негосударственные образовательные учреждения, «ЕВРАЗ Качканарский ГОК», ФГУП «Электрохимприбор», больница, местные филиалы «Райффайзенбанка» и «Активкапитал Банка». А 2 декабря приказом руководителя 10 субъектов проверок по теме персональных данных из плана были исключены без объяснения причин.
Если Алексей Лукацкий прав в своем предположении о том, что и порядок контроля и надзора в отношении персональных данных, а также свои полномочия Роскомнадзор будет регулировать самостоятельно, нас ждут веселые времена. В полном соответствии с точкой зрения представителей ведомства: «Практика правоприменения покажет. Если надо, подкорректируем».
И в заключение, в порядке пожеланий. Уважаемые господа чиновники. Нельзя же так мучить субъектов надзора. Планы в форматах pdf (не допускающем поиск), абсолютно нечитаемом кривом tiff (оба формата требуют поворота страниц в разные стороны), иногда – Word и Excel. Нормализуйте форматы, пожалуйста. 

12 января 2016 г.

С новым рабочим годом. Читаем планы проверок Роскомнадзора. Часть 1

Новый рабочий год в нашем агентстве, в силу специфики деятельности, традиционно начинается с тщательного изучения плана проверок Роскомнадзора. В этот раз он начался почти невероятно. Впервые за последнее время Роскомнадзор не вывесил до начала года план проверок на своем сайте. И не только проверок в отношении персональных данных, не очень элегантно выведенных законодателями с 1 сентября 2015 года из-под регулирования Федеральным законом 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», и не требующих теперь согласования с прокуратурой (об этом я писал здесь), но и сводного плана плановых (извините за тавтологию) проверок ведомства на 2016 год.
Вместо сводного плана на первой странице официального сайта надзорного органа 31 декабря появилась короткая, но весьма интересная публикация под заголовком «О планировании контрольно-надзорной деятельности в области персональных данных на 2016 год», в которой сообщалось, что «Роскомнадзором завершено планирование контрольно-надзорной деятельности в области персональных данных. С учетом изменений, внесенных в действующее законодательство Российской Федерации, процесс планирования опирался на анализ деятельности операторов с учетом правоприменительной практики, сложившейся с 1 сентября 2015г. В общей сложности на 2016 год запланировано более 1000 плановых проверок и около 2000 мероприятий систематического наблюдения персональных данных… В ходе указанных проверок в том числе будет осуществляться контроль за исполнением операторами требований по локализации баз данных на территории Российской Федерации». Далее указывается, что «По состоянию на 31 декабря 2015 года планы территориальных органов Роскомнадзора размещены на официальных сайтах территориальных органов Роскомнадзора в соответствии с требованиями административного регламента ведомства», куда всем желающим, видимо, и надо заглянуть, чтобы узнать о перспективах увидеть представителей надзора в гостях.
Что ж, мы люди привычные к хождению не простыми путями, посмотрим сайты территориальных органов, в частности, управлений по ЦФО, СЗФО, УрФО и Вологодской области.
В ЦФО документ называется «План деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в 2016 году». Этот план дает, пожалуй, наиболее полное представление о стратегии контрольной деятельности ведомства в новых реалиях.
Первым из гигантов, попадающих под раздачу, стала корпорация Microsoft, заодно с ней будут проверены HP и Samsung. Почему именно эти две компании, знает только автор задумки, но в отношении Microsoft, которая активно и давно сотрудничает с правительствами и спецслужбами по всему миру, в том числе и в России, раскрывая свои исходные коды и предоставляя их для сертификации по требованиям безопасности, такое решение заставляет задуматься. Корейским вендорам, похоже, спонсорство на международной конференции Роскомнадзора и громкие публичные заявления о переносе всего в Россию тоже не очень помогло.
Следующая и самая большая по численности группа – российские дочки зарубежных банков. Здесь команда подобралась более, чем достойная: Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК», а заодно с ними – и «Московский кредитный банк», «Национальное бюро кредитных историй» и форекс-брокер «Альпари». В отношении дочек зарубежных банков просматривается интересная тема – будет ли Роскомнадзор считать сведения о движении средств по счету персональными данными, или согласится с тем, что эти сведения составляют иную охраняемую законом категорию – банковскую тайну. Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона. Вот она, могучая сила трактовки, о которой столько уже понаписали блогеры! Постараюсь этот вопрос обсудить на круглом столе с регуляторами в Магнитогорске – тема увлекательнейшая.
Третья группа – зарубежные производители косметики, физически представленные в России и так любящие программы лояльности и рекламные рассылки потребителям. Набор почти полный: «Амвэй», «Эйвон Бьюти», «Ив Роше Восток», «Мэри Кэй», «Орифлэйм» и попавшая в достойную компанию отечественная «ФАБЕРЛИК» (к вопросу о целесообразности иноязычных названий J). Здесь, я так понимаю, центральным вопросом будет местонахождение вожделенных CRM-систем и наличие доказываемого согласия на продвижение товаров путем прямых контактов по каналам связи (тема, хорошо знакомая получателям ежедневных смс-рассылок о 50-процентных скидках сами-знаете-от-кого).
Следующая группа – продавцы автомобилей и ритейл. В первой подгруппе – тоже цвет мировой промышленности и российских дилеров: «Крайслер», «Фольксваген», и, для полного комплекта, «Рольф». Попадают ли персональные данные счастливых обладателей новых авто за рубеж, и если да – то как? Хороший вопрос.
Ритейл: «Перекресток», «ИКС 5 Ритейл Групп», близко к ним находится с точки зрения возможных проблем с законом «Макдоналдс».
Столпы туризма: «Пегас Туристик» (главное направление до недавнего времени – Турция), «ФорСи» (российское подразделение Four Seasons TravelNotes), «Островок.Ру» (отечественная система бронирования отелей), «Сирена-Трэвел» (отечественная система бронирования авиабилетов и не только), «Азимут Хотелс Компани» (международная сеть отелей), «Гелиопарк» (российская сеть отелей). Здесь тоже все понятно. Трансграничка, неадекватные страны, Турция и Египет. Согласия субъектов, в том числе не являющихся стороной договора, но получающих услуги (члены семьи, большие компании по интересам, «корпоративный туризм»). Программы лояльности, скидки, поручения многочисленным контрагентам со всего мира (бронирование, трансферы, гиды и прочее), часть 3 статьи 6 152-ФЗ в полном объеме. Сказка для знающего проверяющего.
Дошли, наконец, руки, и до порталов по поиску работы и подбору персонала «СуперДжоб» и «Хэдхантер». Здесь проверяющих тоже ждет масса интересного, если углубятся. Одни лицензионные соглашения чего стоят. Ну, и где хостятся базы, если поискать?
Негосударственные пенсионные фонды: «Согласие», «Лукойл-Гарант». Наряду с коллекторами это область бизнеса, вызывающая постоянные претензии как субъектов, так и разного рода органов надзора – от ПФР до Роскомнадзора и Роспотребнадзора.
Из российских интернет-компаний в план попал «Суп Медиа» группы «Рамблер». Не все однозначно, будем смотреть.
Очень большие интернет-магазины «Озон» («Интернет Решения»), «Купишуз» (она же – Lamoda), «Приват Трэйд» (она же - KupiVip.ru c сайтами для Казахстана и Беларуси), «Вайлдберриз» (брендовая одежда). Регистрация пользователей, доставка товара, партнеры, контрагенты, опять же – программы лояльности, сроки хранения данных (а что здесь персональные данные?), неизбыточность хранимых данных, процедура уничтожения. Тоже темы глубокие.
ООО «Телеконтакт» - крупнейший колл-центр с подразделениями в Беларуси и на Украине. Тоже очень интересно, особенно учитывая отношение Роскомнадзора к обработчикам. Поручения на обработку и адекватность принятых мер защиты напрашиваются сами собой, но вот неподведомственность ст.19 152-ФЗ Роскомнадзору несколько смущает. Кстати, это не единственный колл-центр, который будет подвержен проверке по персональным данным. Есть они и в планах других территориальных органов.
В целом план ЦФО находится в русле заявлений руководителей надзорного ведомства о критериях выбора объектов плановых проверок и направленности контрольной деятельности. Результаты будет очень интересно посмотреть.
О СЗФО (включая Вологду) и УрФО – в завтрашнем посте, а то очень много букв получается.