Социальная инженерия

В ходе проведения экономического обоснования была рассмотрена фаза планирования проекта, целью которого является проведение информационного аудита с целью обнаружения угроз использующих в своей основе методы социотехники и последующего проектирования системы защиты от подобного рода угроз. Разработан сетевой и календарный графики проекта, позволяющие реализовать его в течение пяти месяцев с учетом пожелания Заказчика, сила ми группы из 6 человек Исполнителя. При этом единовременно задействованными являются 3-4 человека. Расчетные трудозатраты составили 224 человеко-дней. При первичном планировании проект занял бы более 10 месяцев, если на каждой отдельной работе задействовать по одному человеку. В отдельных случаях, при распараллеливании единовременно начинали работать три человека. Тем не менее, при рациональном распределении ресурса, проект возможно реализовать за пять месяцев осуществив при этом меньшие затраты, нежели при первичном расчете стоимости и времени исполнения.

Общие затраты на проект составят 1 042 822 руб, причём около 59% уйдёт на заработную плату и различные отчисления с неё. Такие расходы являются целенаправленными, т.к. сам по себе аудит, что финансовый, что управленческий, что информационный являются на сегодня дорогостоящей услугой. Затраты сопоставимы по стоимости с внедрением системы по работе с клиентами (CRM), если систему внедрять с минимальными доработками в случае адаптации её под клиента в размере 5-10% доработки от исходного варианта под порядок 14-25 рабочих места (соответствует российской статистике по компаниям небольшого и среднего размера, оценивающей размер отдела продаж или отдела по работе с клиентами на 2006-2007 год). Такой процент доработки встречается сегодня редко, в силу специфики работы российских компаний, даже если сравнительно со стоимостью внедрения одной из самых дешевых на сегодня систем такого класса, такой как Microsoft Dynamics CRM 3.0/4.0.

Реализация проекта является экономически обоснованным мероприятием, учитывая статистику информационных рисков, которым подвержены сегодня компании и тем последствиям. К которым эти риски приводят, если их не учитывать. Такие затраты относятся к категории разовым, т.к. при внедрении системы защиты, на свое поддержание она потребует расходы на порядок меньше. При этом результаты проведение кадрового и социально-психологического анализа, а также информационно-технического анализа можно смело использовать при проведении управленческого аудита, а также при необходимости осуществления реструктуризации организации.

Навыки, по проведению обучающих программ для сотрудников, а также набор шаблонов использующихся при таких тренингах позволят использовать методику тренингов для различных обучающих целей в компании и для различных подразделений.

Продуктом данного проекта окажутся продукты повторного использования в дальнейшем, что является рациональным вложением денег при планировании затрат на такие услуги.

5. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

5.1 Введение

Правовое обеспечение и сопровождение большинства вопросов в любой организации независимо от формы и вида организации и учреждения - важная составляющая существования и жизнедеятельности организации. Начиная от интервирования соискателя на вакантную должность в организации, и завершая фазой увольнения сотрудника (по собственному желанию или по факту нарушения последним законодательных актов) и прекращения действия в этом случае Трудового договора или Контрактного договора с лицом вступившего в договорные отношения с организацией.

К сожалению, сегодня, специалисту по защите информации приходится быть ко всему прочему и «продвинутым юристом», чтобы максимально грамотно подходить к вопросам попадающих в поле его компетенции, и непосредственной деятельности. Причина такому положению вещей, являются условия формирования законодательной базы, т.к. её нельзя сегодня назвать сложившейся или сформировавшихся в виду массы неопределенностей и неоднозначности трактовок, как таковых по ряду ключевых определений и несостоятельности однозначно разрешать возникающие вопросы в области информационной безопасности и защите информации в целом. Причем основная масса вопросов решается далеко не в пользу учредителя организации и непосредственного работодателя. Коммерческая тайна легко способна стать достоянием масс и потерять свое главное и самое важное для работодателя свойство, без разумной и соответствующей компенсации за это нарушение, которое по сути и нарушением может быть не признано нашими законодателями в силу признания отсутствия факта законодательного нарушения со стороны нарушителя, либо признания это нарушение незначительным и отсутствием справедливым наказанием за него в виду неадекватности в законе стоимостных показателей в случае признания нарушения.

В связи с этим становятся востребованными не только должности специалиста по защите информации, администратора безопасности, но и должности, не имеющие высокого рейтинга и надлежащего признания вчера и пока еще сегодня, такие как социальный психолог, специалист по прикладной социологии, специалист по кадрам и тем более менеджер по управлению персоналом.

Гораздо дешевле на порядки выявить «врага» на подступах, нежели испытывать на себе последствия его деяний на организации по факту обнаружения таковых. В связи с чем считаю разумным уделять кадровому вопросу намного больше внимания, нежели это «принято» сегодня, разделяя мнение офицеров по информационной безопасности и тех специалистов кто поддерживает такой подход и сам в перспективе желает выйти на этот уровень и занимаемую должность.

Итак, при составлении сегодня нормативно-правового пакета документов в организации следует использовать следующую организационно-правовую базу:

1. Кодекс РФ об административных правонарушениях от 30.12.2001 № 195-ФЗ.

2. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ.

3. Уголовный кодекс РФ от 13.05.96 № 63-ФЗ.

4. Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации».

5. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

6. Указ Президента Российской Федерации от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера».

7. Федеральный закон от 27.07.2006№ 152-ФЗ «О персональных данных».

8. Федеральный закон от 18.12.2006№ 231-ФЗ «О введении в действие части четвертой Гражданского кодекса Российской Федерации».

Дополнительно, можно пользоваться следующим материалом:

1. ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

2. Гражданский кодекс РФ, ч. 1 от 30.11.94 № 5ГФЗ.

3. Гражданский кодекс РФ, ч. 2 от 26.01.96 № 14-ФЗ.

4. Гражданский кодекс РФ, ч. 4 от 18.12.2006 № 230-ФЗ.

5. Федеральный закон от 02.12.90 № 395-1 «О банках и банковской деятельности».

6. Стандарт Банка России «СТО БР ИББС-1.0-2006 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», Распоряжение Банка России от 26.01.2006 № Р-27.

7. Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях».

5.2 ПОДХОДЫ К ПРАВОВОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ ВНУТРЕННИХ УТЕЧЕК

Одна из основных проблем любой организации - защитить свои активы от посягательств извне и от внутренних утечек, как основной утечки конфиденциальной информации, ставшей очень остро перед каждым работодателем и как следствие службами ИБ.

Большинство людей не умеют хранить свои личные секреты, а чужих и подавно будут кому-то обязательно озвучены. Особенно, если руководитель заострит внимание на том, что эту информацию никто кроме нас двоих не должен знать. В связи с этим, ни один из сотрудников организации не должен знать больше, чем ему полагается по должности. Что на практике часто не выполняется.

На случай, если у сотрудника возникло желание поделиться информацией, которую ему положено знать по должности, в трудовом контракте с сотрудником следует прописать пункт о том, что за разглашение коммерческой информации сотрудника ждет «ответственность вплоть до уголовной». Как правило, другие виды наказания (взыскания, штрафы и пр.) хотя и являются существенными, но очень просто обходятся на практике. Например, при «сливе на сторону базы», сотрудник учтет сумму штрафа и припишет её своим заказчикам, заказавшие клиентскую базу. Однако все ли так просто и очевидно?

С одной стороны, допустим, при электронной переписки организация имеет право осуществлять контроль за всем трафиком, как исходящим, так и входящим. С другой стороны, если какой-то пользователь компании, иногда, будит переписываться с каким-то третьим лицом (используя ресурсы компании, корпоративный почтовый ящик с родственником, другом, заказчиком информации и т.д.) то у нас возникает коллизия в законодательстве:

· Как сотрудник компании, право на переписку со своими адресатами от своего имени в порядке осуществления функциональных обязанностей, согласно трудовому договору.

· Как гражданин РФ, сотрудник имеет право на тайну переписки.

Правоспособность сотрудника компании, в свою очередь, включает право на переписку со своими адресатами от своего имени и, как в предыдущем случае, право на тайну переписки. Но и сама компания имеет право на охрану информации (коммерческой тайны), в частности, на действия с целью предотвращения утечки коммерческой тайны по причине небрежности или неосторожности сотрудника (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»)

В России право на тайну переписки гарантируется любому гражданину РФ в соответствии со ст. 23 п. 2 Конституции РФ и подтверждается ст. 138 УК РФ («Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан»). Ограничение этого права возможно только Федеральным законом. В настоящее время не существует такого закона, который однозначно определяет право юридического лица на перлюстрацию электронной корреспонденции сотрудника с целью защиты коммерческой тайны и своей информационной системы.

При этом действуют:

· Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации» который дает организации-владельцу информации право на ее защиту;

· Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»

· Трудовой кодекс РФ, имеющий статус Федерального закона (197-ФЗ от 30.12.2001), в котором говорится, что «в трудовом договоре могут предусматриваться условия: о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной)» (ст. 57);

· комментарии к УК: «нарушение тайны переписки заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит».

Какие меры необходимо предпринять компании для обеспечения безопасности электронной переписки (защиты от внешних угроз и утечки конфиденциальной информации) и соблюдения прав сотрудника и его внешнего адресата? Ведь, если даже сотрудник компании был уличен в промышленном шпионаже с помощью автоматизированной системы контроля почты, он не только может выйти сухим из воды, но даже выдвинуть вместе со своим внешним адресатом встречные иски, которые имеют почти 100%-ный шанс быть удовлетворенными. По причине лишения юридической силы доказательство вины сотрудника компании не будет допущено к гражданскому судебному процессу (нарушение ст. 49 ч. 3 ГПК РФ). Кроме того, невозможным становится принятие мер дисциплинарного воздействия (например, увольнение, выговор). А доказательства вины сотрудника могут использоваться против организации в подтверждение нарушения Конституции РФ и для возбуждения уголовного дела в отношении виновных лиц.

Если подойти с рассмотрения внешних угроз (вирусы, попытка взлома сети, спам и т.д.), тогда проблема законности проверки почтового трафика облегчается. Поскольку кибермошенник действует всеми доступными нелегальными путями, то в его же интересах остаться анонимным, не раскрывать своего имени и местонахождения. Поэтому в случае принадлежности третьего лица, с кем велась переписка сотрудника компании к компьютерному андерграунду и его причастности к нарушению действующего законодательства (в частности, ст. 273 УК РФ «Создание и распространение вредоносных программ для ЭВМ»), тогда скорее всего претензий со стороны сотрудника компании в нарушении тайны его переписки не будит. Рассылка современных вредоносных программ, а равно и спама, осуществляется анонимно и носит не личный, но публичный характер. В таком случае сотрудник, можно считать не состоит в переписке с автором нежелательной рекламы или сетевого червя, коммуникации не направлены на длительный характер и являются предпринимательской (или преступной) деятельностью.

С точки зрения внутренних угроз, сложность состоит в случае с мониторингом почтовой корреспонденции с целью предотвращения утечки конфиденциальной информации, что вступило в противоречие с законом. Как в данном случае совместить конституционное право гражданина на тайну переписки и необходимость организации защитить собственные данные?

Вариант 1.

Компания правообладатель вносит дополнительное условие в трудовой договор со своим сотрудником о запрещении использования оборудования (собственности) компании в личных целях, в том числе для отправления личных писем по электронной почте. Эта мера устанавливается всего лишь дисциплинарная ответственность за сам факт использования оборудования работодателя с нарушением трудового договора. Здесь, остается лишь практическая возможность установления самого факта отправления сообщения по «неправильному» адресу. Если же адрес «правильный», но письмо содержит конфиденциальную информацию, то такая утечка останется без внимания.

Вариант 2.

Компания устанавливает автоматизированную систему (фильтр), которая сканирует почту сотрудника и совершает над ней некие действия в соответствии с настроенным алгоритмом. Администрирование фильтра поручено другому сотруднику компании (или третьим лицам по дополнительному договору). Этот вариант решает задачу исключения физического лица из процесса просмотра сообщения и тем самым возлагает ответственность за нарушение тайны переписки на неодушевленный фильтр. Однако это решение не позволяет исключить ответственность компании, так как управление фильтром осуществляет субъект, имеющий определенные договорные отношения с этой компанией. Субъект задает критерии проверки содержания почты, то есть, не читая сообщений физически, он нарушает право на тайну переписки путем возможности установить наличие определенных слов в тексте письма. По аналогии можно сравнить вариант с ситуацией, когда запечатанный фирменный конверт вскрывает установленный компанией робот-манипулятор. Он же осуществляет прочтение, анализ текста и изменяет оригинальную маршрутизацию сообщения.

Вариант 3.

За основу берется технология документооборота в государственных органах (широко представлена в ГОСТ и ОСТ). Она сводится к частичному обезличиванию автора письма по следующему сценарию:

· письмо отправляется на бланке (или с печатью организации);

· обязательно наличие подписи должностного лица, которое и является отправителем от имени организации;

· обязательно указание фактического автора документа.

С точки зрения реализации электронного документооборота эта технология предполагает, что сотрудник имеет право выйти с собственного электронного адреса во внешнее информационное поле исключительно через своего руководителя или специальное должностное лицо. Для формальности достаточно присваивать безопасным письмам метку, подтверждающую одобрение текста письма, отправляемого сотрудником от лица компании. Такая технология свидетельствует о факте направления письма ответственному лицу и, не нарушая права на тайну переписки, позволяет ознакомиться с содержимым письма. С другой стороны, она не совсем соответствует общепринятым стандартам бизнес-коммуникаций.

Вариант 4.

Сотрудник обращается к руководству компании, в которой он работает с просьбой следующего содержания: «Я … работающий по трудовому договору и сознающий свою ответственность за разглашение коммерческой тайны, прошу оказать содействие в анализе моей корреспонденции на предмет наличия в ней конфиденциальных данных».

Этот вариант:

1. уменьшает ответственность самого сотрудника за действительную неосторожность, поскольку свидетельствует о принятых им надлежащих мерах.

2. Его трудно назвать 100 % решением задачи официального доступа к тексту письма, так как заявление может быть объявлено незаконным вследствие невозможности отказа гражданина от личных неимущественных прав, каковым является тайна переписки.

Вариант 5.

В основу этого варианта ложится анализ норм Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации» и . Он определяет понятия собственника, владельца и пользователя информационных ресурсов, документированной информации и самих информационных ресурсов (массивы документов в информационных системах). А это, в свою очередь, позволяет отнести переписку сотрудника к документированной информации («зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать»), входящей в информационные ресурсы, собственником которых является компания. Для формальной реализации варианта необходимо:

1. внедрение в организации положения о конфиденциальности, описывающего нормы внутренней безопасности и список конфиденциальных документов. Каждый сотрудник должен быть с ним ознакомлен «под роспись».

2. требуется модификация содержания трудового договора. В частности, подписанный трудовой договор должен содержать условие об обязанности хранить коммерческую тайну, а также условие, что все, созданное сотрудником на рабочем месте, направляется в корпоративные информационные ресурсы.

Таким образом, компания получает право собственности на электронный документ и по своему усмотрению может им распоряжаться: отправлять его по указанному сотрудником адресу, архивировать, анализировать на предмет наличия коммерческой тайны.

Что делать если объектом защиты является клиентская база? В таком случае этот вариант нужно дополнить.

Итак, в трудовом договоре с сотрудником должно быть четко прописано:

· что является предметом коммерческой тайны;

· какие неприятности ожидают сотрудника, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником.

Сотруднику нужно убедительно разъяснить, что согласно ст. 10 и 11 Федерального закона «О коммерческой тайне» работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые по мнению работодателя составляют предмет коммерческой тайны предприятия, и за разглашение которых он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 14 этого закона сотрудник будит обязан возместить причиненные фирме убытки, возникшие в результате разглашения им конфиденциальной информации (размер убытков устанавливает суд). Такое разъяснение не исключает полностью утечки конфиденциальной информации с компании, но уменьшает процент желающих воспользоваться служебным положениям с целью последующего хищения информации.

Более того, клиентскую базу можно с юридической точки зрения, рассматривать как средство производства, которое является собственностью работодателя. Следовательно, воровство базы может рассматриваться как воровство чужого имущества, что является предметом статьи Уголовного кодекса (ст. 159 УК РФ). А также за хищение клиентской базы можно инициировать судебное преследование по четырем статьям Уголовного кодекса:

1. ст. 159 «Кража»;

2. ст. 272 «Несанкционированный доступ к компьютерной информации»;

3. ст. 183 «Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну»;

4. ст. 146 «Нарушение авторских и смежных прав».

5.3 РЯД НЮАНСОВ СВЯЗАННЫХ С КОММЕРЧЕСКОЙ ТАЙНОЙ

С начала этого года (2008 г.) законодательная база претерпевает значительные изменения. С учетом недееспособности российской законодательной базы в области защиты информации, это положительное течение. Однако, новые положения в ряде Федеральных законов, являющимися «кирпичиками» построения коммерческой тайны в компании независимо от формообразования, заставляют офицеров информационной безопасности более тщательно отнестись к составлению перечня у себя в компании объектов отнесенных к «коммерческой тайне». А уже имеющуюся и возможно, налаженную систему пересматривать. Причем, хорошей практикой здесь будит вовлечение первоклассных юристов в этот процесс. Иначе, путь для инсайдера в каждой компании как оставался открытым, так и продолжает оставаться. А защитники последних выискивают коллизии в законе, чтобы признать недействительным положение о коммерческой тайне в компании и тем самым невиновность их подопечных.

Итак, законодательная база с начала этого года, заставляет тщательно пересмотреть основополагающие организационные документы, иначе проблем не избежать и доказывать что-либо в суде будит бесполезно. Итак, пожалуй стоит начинать рассмотрение подход к составлению трудовых договоров, положений подразделений и должностных инструкций.

Вопросы, которые требуется выяснить, при составлении отмеченных документов, а также использования общей терминологии во всем пакете организационных документов:

1. Информация (что это такое) и какая информация подлежит охране и защите.

2. Перечень информации составляющей коммерческую тайну.

3. Время жизни или срок охраны составляющей коммерческую тайну.

4. Возмещение ущерба за разглашение информации отнесенной к коммерческой тайне.

Согласно новому положению понятие информация перестало быть выделенным. И стало тождественным ноу-хау, что является только интеллектуальной разработкой.

Получается, что все составляющие коммерческой тайны должны являться результатом интеллектуальной деятельности, иначе закон не будет их охранять.

Все кажется просто и логично, пока не сталкиваешься с составлением в конкретной организации перечня информации, составляющей коммерческую тайну (абзац 1 п. 1 ст. 10 закона «О коммерческой тайне»), без которого режим коммерческой тайны обладателем информации, составляющей коммерческую тайну, не может быть установлен.

По закону, в отношении определения состава коммерческой тайны ее обладатель полный «хозяин», в таком случае, что хочу, то и пишу в этот перечень. Но п. 8 ст. 11 Федерального закона «О коммерческой тайне», в котором работнику (потенциальному инсайдеру) законом прямо предоставляется «право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением им трудовых обязанностей».

Причем, в законе не уточняется вид доступа, который может быть как санкционированным, так и по ошибке, и в результате сбоя или по коварному злому умыслу инсайдера. И в суде взять такого сотрудника «за живое», когда его линия защиты будет построена на постулате незаконности установления режима коммерческой тайны в отношении той информации, разглашение которой ему вменяют, будит из мира фантастики. А незаконность в перечне информации составляющей коммерческую тайну организации, т.е. на разглашенную (читай - похищенная) им информацию присутствует неправомерное как он это полагает и на этом настаивает его защита. Обладателю разглашенной информации надо будет очень постараться, чтобы доказать суду обратное.

Определенная ранее законом «О коммерческой тайне» (п. 3 ч. 3 ст. 11) обязанность работника "не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период cpока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось» отменяется с введением в действие части четвертой ГК РФ.

Взамен этого Гражданский кодекс подтвердил наличие подобной ответственности и в дальнейшем нормой п. 2 ст. 1470 («гражданин, которому в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя стал известен секрет производства, обязан сохранять конфиденциальность полученных сведений до прекращения действия исключительного права на секрет производства»), но временные рамки действия ответственности при этом менее определенными и не ясны. Т.к. не сказано об условиях прекращения такого ограничения.

Таким образом, имеем в общем случае теоретическую неограниченность срока охраны информации, составляющей коммерческую тайну. Практически же ограничить этот срок может сам обладатель этой информации, обстоятельства непреодолимой силы, незаконные действия инсайдера и т. д. Можно сказать, что когда информация, составляющая коммерческую тайну, перестает охраняться её обладателем (отменяется режим коммерческой тайны) и\илн становится общедоступной, то сам объект охраны как таковой будет отсутствовать.

Следовательно, пострадавшему обладателю информации, составляющей коммерческую тайну, необходимо в нынешних условиях доказывать в ходе судебного разбирательства тот факт, что режим коммерческой тайны (право на конфиденциальность информации) вообще существовал и к определенному моменту еще не прекратил свое существование.

Ранее необходимость этого доказательства, конечно, тоже существовала, но как бы на втором плане, потому что временные рамки действия режима коммерческой тайны законодательно определялись более четко условными этапами: первый - действие трудового договора с распиской о режиме, второй - три года (или по соглашению энное количество лет) после прекращения трудового договора. Таким образом, обладатель информации, составляющей коммерческую тайну, в отношении которой он установил режим коммерческой тайны, должен заблаговременно продумать и решить возможные доказательства временных рамок существования режима коммерческой тайны, чтобы потом в суде иметь какие-то основания на своей стороне.

Об ущербе

Ранее существовала коллизия между «О коммерческой тайне» (п. 4 ч. 3 ст. 11) работник, виновный в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей, обязан был возместить причиненный работодателю ущерб, а в ст. 139 (п. 2) ГК РФ была закреплена норма, регулирующая трудовые правоотношения и в то же время предусматривающая гражданско-правовую ответственность в виде возмещения причиненных убытков.

Понятие же ущерба входит составной частью в понятие убытков, так как согласно ст. 15 ГК РФ убытки включают в себя реальный ущерб, а также упущенную выгоду. Таким образом, законом «О коммерческой тайне» была установлена ограниченная имущественная ответственность работников, разгласивших информацию, составляющую коммерческую тайну.

С введением и действие части четвертой ГК РФ законодательная коллизия была устранена путем отмены сразу обеих конфликтующих норм: ст. 139 ГК РФ и п. 4 ч. 3 ст. 11 закона «О коммерческой тайне».

Взамен этого ст. 1472 ГК РФ на нарушителя исключительною права на секрет производства, в том числена лицо, которое неправомерно получило сведения, составляющие секрет производства (коммерческую тайну), и разгласило или использовало эти сведения, возложена обязанность возместить убытки, причиненные нарушением исключительного права на секрет производства, если иная ответственность не предусмотрена законом или договором с этим лицом.

Однако не все стало однозначным в вопросе ответственности работников в рамках трудовых отношений за нарушение режима коммерческой тайны, так как этот вопрос еще регулируется нормами гл. 39 Трудового кодекса Российской Федерации (ТК РФ), которые предусматривают ограниченную материальную ответственность работников. А в соответствии со ст. 5 этого кодекса, в случае противоречий между ним и иным федеральным законом, содержащим нормы трудового права, применяется ТК РФ.

Ст. 241 гл. 39 ТК РФ определяет, что «за причиненный ущерб работник несет материальную ответственность в пределах своего среднего месячного заработка, если иное не предусмотрено настоящим Кодексом или иными федеральными законами». Это идет вразрез с требованиями ст. 238 гл. 39 того же кодекса, которая гласит в первом абзаце: «Работник обязан возместить работодателю причиненный ему прямой действительный ущерб. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат».

По этой причине, чтобы иметь какую-то весовую категорию в суде, необходимо правильно воспользоваться п. 7 ст. 243 ТК РФ о возможности полной материальной ответственности работника в случае разглашения сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную).

Каким в таком случае будет возмещение ущерб упоминаемое выше ГК РФ в ст. 1472?

Учитывая главенство в области норм трудового права ТК РФ, получается, что на возмещение инсайдером именно убытков (а не ущерба) можно рассчитывать только вне рамок трудовых отношений с ним, то есть при гражданско-правовой форме взаимоотношений нарушителя с работодателем или при отсутствии какой-либо правовой формы взаимоотношений вообще. В этом случае нарушителя и инсайдером уже нельзя называть, это уже является мошенничеством.