Социальная инженерия
Обобщение состава вхождения наук и методов в социальную инженерию. Исследование проблемы утечки информации в России. Потенциально опасные программы. Интернет-пейджеры или служба мгновенного обмена сообщениями. Нарушение авторских прав на информацию.
Рубрика | Социология и обществознание |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 06.03.2014 |
Размер файла | 3,9 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
4.5 Календарный график выполнения проекта
Первый календарный график на рис. 4.2 построен с учетом таблицы 4.3 и сетевого графика (рис.4.1). Срок исполнения проекта более семи месяцев, предположим, проект начинается с 1 июля 2008 года и должен идти по 20 февраля 2009 года.
Второй календарный график на рис. 4.3 построен с учетом оптимизации рационального использования ресурсов на каждой работе и сокращением критического пути. В результате если проект будет начат 1 июля 2008 года, то 17 ноября он будет завершен.
Оба графика планировались с учетом пятидневной рабочей недели и восьмичасового рабочего дня.
Следующая таблица отражает перераспределение ресурсов и их загрузку на каждом участке работы, а также показывает измененную продолжительность времени выполнения каждой работы. Результатом является диаграмма Гантта на рис. 4.3.
Таблица 4. Перераспределение выделенными ресурсами
Код работы |
Ожидаемая продо-сть |
Ожидаемая продо-сть |
Выделенный ресурс (в скобках указана загрузка, если она отлична от 100%) |
|
0-1 |
12 |
6 |
Администратор безопасности Консультант1 по ЗИ |
|
1-2 |
4 |
2,4 |
Аналитик (60%) Руководитель проекта (40%) Технический писатель (60%) |
|
2-3 |
5 |
3,33 |
Руководитель проекта Технический писатель (50) |
|
3-4 |
1 |
1 |
Администратор безопасности |
|
3-5 |
1 |
1 |
Консультант1 по ЗИ |
|
3-6 |
3 |
3 |
Руководитель проекта (60%) |
|
6-7 |
7 |
4,12 |
Администратор безопасности (70%) Консультант1 по ЗИ |
|
6-8 |
9 |
4,4 |
Руководитель проекта Аналитик |
|
8-9 |
8 |
5 |
Администратор безопасности (60%) Консультант1 по ЗИ (60%) Технический писатель (40%) |
|
8-11 |
23 |
11,5 |
Руководитель проекта Аналитик |
|
9-10 |
1 |
1 |
Консультант1 по ЗИ |
|
10-11 |
3 |
3 |
Администратор безопасности |
|
11-12 |
6 |
4 |
Администратор безопасности (50%) Консультант1 по ЗИ |
|
12-13 |
6 |
3,3 |
Руководитель проекта (10%) Аналитик (30%) Администратор безопасности (40%) Технический писатель |
|
13-14 |
4 |
2,8 |
Аналитик (60%) Технический писатель (90%) |
|
14-15 |
5 |
3,9 |
Руководитель проекта (40%) Аналитик (40%) Технический писатель (50%) |
|
14-16 |
6 |
4,3 |
Руководитель проекта (60%) Аналитик (30%) Технический писатель (50%) |
|
16-17 |
10 |
5,3 |
Руководитель проекта (30%) Аналитик (30%) Администратор безопасности (30%) Технический писатель |
|
17-18 |
3 |
2,7 |
Руководитель проекта (10%) Консультант2 по ЗИ |
|
17-19 |
3 |
3 |
Руководитель проекта (10%) Аналитик (30%) Администратор безопасности (60%) |
|
17-20 |
14 |
7,6 |
Руководитель проекта (80%) Аналитик (70%) Консультант1 по ЗИ (70%) |
|
19-20 |
2 |
2 |
Администратор безопасности |
|
20-21 |
2 |
2 |
Администратор безопасности |
|
20-22 |
8 |
4 |
Руководитель проекта (53%) Аналитик (53%) |
|
22-23 |
4 |
4 |
Администратор безопасности |
|
22-24 |
7 |
4,7 |
Руководитель проекта (10%) Аналитик (30%) Технический писатель (10%) Консультант1 по ЗИ |
|
22-25 |
8 |
4,9 |
Руководитель проекта (20%) Технический писатель (90%) Консультант2 по ЗИ (60%) |
|
25-26 |
14 |
6,4 |
Руководитель проекта (20%) Консультант1 по ЗИ Консультант2 по ЗИ |
|
26-27 |
5 |
5 |
Руководитель проекта (10%) Консультант1 по ЗИ (50%) Консультант2 по ЗИ (50%) Администратор безопасности (50%) |
|
27-28 |
4 |
2,9 |
Консультант1 по ЗИ Консультант2 по ЗИ (40%) |
|
27-29 |
5 |
4 |
Руководитель проекта (30%) Аналитик (60%) Администратор безопасности (40%) Технический писатель (60%) |
|
29-30 |
7 |
4 |
Руководитель проекта (30%) Аналитик (50%) Консультант1 по ЗИ (60%) Технический писатель (60%) |
|
30-31 |
12 |
4,4 |
Руководитель проекта (50%) Аналитик (50%) Консультант1 по ЗИ (70%) Технический писатель (60%) |
|
31-32 |
5 |
3,5 |
Руководитель проекта (80%) Технический писатель (80%) |
|
32-33 |
2 |
2 |
Руководитель проекта (60%) |
|
32-34 |
5 |
5 |
Администратор безопасности |
Таким образом, мы вписываемся в установленный Заказчиком график. Более того, остается полторы-две недели резервного времени до граничащего срока и в связи с этим могут быть внесены некоторые доработки, пожелания, либо сокращенны на отдельных работах трудозатраты. Дополнительно к группе Заказчика был привлечен еще один специалист, который помог более целесообразно распорядиться трудовыми ресурсами. Насколько оптимизированный календарный план по финансовой составляющей приемлем, нежели первый календарный график, и как финансово отразиться увеличение группы Заказчика на одну единицу, можно судить по сводной таблице расходов на заработную плату группы Заказчика приведенную ниже.
4.6 Анализ структуры затрат проекта
Затраты на выполнение проекта состоят из прямых затрат (на заработную плату исполнителям, затрат на закупку или аренду оборудования, затрат на организацию рабочих мест), и косвенных затрат (на т.н. накладные расходы) (16):
(16)
где СЗАРП - заработная плата исполнителей, СОБ - затраты на обеспечение необходимым оборудованием, СОРГ - затраты на организацию рабочих мест, СНАКЛ - накладные расходы.
При этом заработная плата исполнителям определяется из соотношения (17)
(17)
где СЗ.ОСН - основная заработная плата, СЗ.ДОП - дополнительная заработная плата, , СЗ.ОТЧ - отчисление с заработной платы.
Рассчитаем все по порядку.
Расчёт заработной платы исполнителям проекта.
Основная заработная плата определяется на основе данных по «дневному» окладу и графику занятости исполнителей (18):
(18)
где - дневной оклад исполнителя, - число дней, отработанных исполнителем. При 8-и часовом рабочем дне дневной оклад рассчитывается по соотношению (19):
(19)
где - месячный оклад, - месячный фонд рабочего времени.
Расчет заработной платы представлен в таблицах 4.5 и 4.6. Ранее был рассчитан месячный фонд рабочего времени, который равен 165,3 час/месяц. Размеры месячных окладов приведены в соответствии с информацией, полученной из интернет-агенств по трудоустройству www.headhunter.ru, www.vacansia.ru. Таблица 4.5 отражает первичный расчет заработной платы группы Исполнителя, соответствующий первой диаграмме Гантта на рис. 4.2 и таблице 4.3 с предварительными расчетами.
Таблица 4.5. Первичный расчет основной заработной платы исполнителей.
№ |
Наименование должности |
Оклад, руб |
Дневной оклад, руб |
Труд. затраты |
Зарплата, руб. |
|
1 |
Руководитель проекта |
60000 |
2903,8 |
66 |
191650,8 |
|
2 |
Аналитик |
50000 |
2419,8 |
50 |
120990 |
|
3 |
Эксперт по сетевой безопасности (Администратор безопасности) |
42000 |
2032,7 |
49 |
99602,3 |
|
4 |
Консультант по защите информации |
37000 |
1790,7 |
36 |
64465,2 |
|
5 |
Технический писатель |
30000 |
1451,9 |
23 |
33393,7 |
|
Итого: |
510102 |
Сумма для подобного проекта адекватна, она составляет 22000 у.е. Так, при внедрении CRM, ERP системы с 5%-10% доработки системы под Заказчика требуется заплатить от 50% до 100% от стоимости внедрения. При этом требуется немалое время на проведение управленческого аудита, для последующей оптимизации бизнес-процессов компании. Системы среднего и начального уровня представленные сегодня на рынке стоят от 45000 у.е. (например MS CRM Dynamics 3.0 и 4.0).
Тем не менее, данная сумма рассчитан для срока проекта, который не вписывается в желаемый интервал. После оптимизации ресурсов и введение дополнительной единицы в группу Заказчика, получаем расчет основной заработной платы группы Исполнителя, приведенный в таблице 4.6.
Таблица 4.6. Расчет основной заработной платы исполнителей после оптимизации затрат.
№ |
Наименование должности |
Оклад, руб |
Дневной оклад, руб |
Труд. затраты |
Зарплата, руб. |
|
1 |
Руководитель проекта |
60000 |
2903,8 |
48 |
139 382,4 |
|
2 |
Аналитик |
50000 |
2419,8 |
40 |
96 792 |
|
3 |
Эксперт по сетевой безопасности (Администратор безопасности) |
42000 |
2032,7 |
39 |
79 275,3 |
|
4 |
Консультант по защите информации 1 |
37000 |
1790,7 |
44 |
78 790,8 |
|
5 |
Консультант по защите информации 2 |
37000 |
1790,7 |
14 |
25 069,8 |
|
6 |
Технический писатель |
30000 |
1451,9 |
34 |
49 364,6 |
|
Итого: |
468 675 |
Таким образом, за счет оптимизации, не только удалось сократить длительность проекта с 7.5 месяцев до 4,5 месяцев, но и сократить сумму затрат на заработную плату группы Исполнителя. Более того, введение в группу дополнительной единицы «консультант по защите информации 2» не только сыграло на сроки реализации проекта, но и позволило рационально распределить трудовые ресурсы между работами.
Расходы на дополнительную заработную плату
Следует учесть все выплаты непосредственным исполнителям за время, не проработанное на производстве, в том числе: оплата очередных отпусков, компенсации за недоиспользованный отпуск и др. Эти выплаты составляют 20% от основной заработной платы.
Таким образом, дополнительная заработная плата составит:
Предполагаем, что при реализации проекта командировки отсутствуют.
Отчисления с заработной платы
Отчисления в пенсионный фонд, фонд социального страхования, занятости, на страховую медицину объединены в единый социальный налог, ставка которого составляет 26% (Глава 24 Налоговый кодекс РФ) от основной и дополнительной заработной платы:
= (468 675руб.+93735 руб.)•0,26=146226,6 руб.
Затраты, связанные с обеспечением оборудованием и материалами.
При выполнении проекта будет использовано как оборудование Заказчика так и имеющееся в компании оборудование (перечень оборудования и расходы, связанны с его эксплуатацией, приведены ниже). Таким образом, затратами на оборудование будут являться амортизационные отчисления. При этом мелкие расходные материалы (бумага, ручки и т.д.) войдут в структуру затрат своей полной стоимостью.
Необходимое программное обеспечение предустановленно на портативные компьютеры (ноутбуки) Исполнителя, а на оборудовании взятого в аренду используется стандартный пакет MS Office, MS Project, MS Visio которые имеют корпоративные лицензии и не требует дополнительных финансовых затрат.
Для расчёта размера амортизационных отчислений воспользуемся формулой (20):
(20)
Где S - стоимость объекта, n0 - время его полезного использования, T - срок службы объекта. При расчёте сроков полезного использования воспользуемся экспертной оценкой нагрузки на принтер; кроме того, примем за время использования рабочих станций время работы соответствующего сотрудника, умноженное на поправочный коэффициент Kпопр. = 1,42 (исходя из числа рабочих дней в году).
Таблица 4.7. Расчёт затрат на оборудование и расходные материалы.
№ |
Наименование |
Количество |
Цена |
Срок службы, лет |
Время полезного использования, дней |
Итог |
|
1 |
Рабочая станция №1 |
1 |
21300 |
3 |
49 |
953,2 |
|
2 |
Рабочая станция №2 |
1 |
21300 |
3 |
62,48 |
1215,36 |
|
3 |
Рабочая станция №3 |
1 |
29450 |
3 |
56 |
1506,12 |
|
4 |
Принтер HP LaserJet 2015 DN |
1 |
9920 |
3 |
37,8 |
343,1 |
|
5 |
Картридж для принтера HP Q7553A |
0,5 |
2496 |
- |
- |
1248 |
|
6 |
Шредер FS-3245301 модель MS-450Cs (авт., SafeSense, 2х8мм, 7лст., 17лтр., CD) 4 степень секретности |
1 |
9500 |
3 |
31 |
269 |
|
7 |
Бумага Xerox Business формата А4 (500л), 80 г/м2 |
2 |
124 |
- |
- |
248 |
|
8 |
Ручка шариковая |
6 |
25 |
- |
- |
150 |
|
9 |
Компакт-диск DVD-R |
10 |
18 |
- |
- |
180 |
|
Итого: |
6 112,78 |
Затраты на организацию рабочих мест
Рабочие места рабочей группы Исполнителя находятся в отдельно выделенном помещении, в непосредственной близости от кабинета Руководителя проекта со стороны Заказчика, мебилированы, телефонизированы, имеют подключение к корпоративной сети компании Заказчика, оборудованы предустановленными тремя рабочими компьютеризированными местами, подключены к сетевому принтеру компании. Рабочие места отвечают требованиям санитарных норм и правил. Согласно нормам на одно компьютеризированное рабочее место необходимо выделять 6 кв.м. При этом, для организации рабочего места принтера предусматривается площадь не менее 0.5 площади компьютеризированного рабочего места.
Таким образом, площадь помещения для посадки рабочей группы из 5 человек и сетевого принтера, составляет: 5*6 кв. м. + 3 кв. м. = 33 кв. м.
Предполагаем, что затраты на организацию рабочих мест несет сам Заказчик и в его интересах организовать необходимое рабочее помещение на своей территории. Для полноты, приведу расчеты для организации рабочих мест, но в общую сумму затрат, с целью экономии бюджета на проект, мы эти затраты включать не будим.
Затраты на аренду помещения можно вычислить исходя из следующего соотношения (21):
(21)
где СКВМ - стоимость аренды одного кв. метра площади за год, S - арендуемая площадь рабочего помещения. ТАР - срок аренды (календарный) в месяцах.
Расчет проведен на основании данных, полученных в компании Realty.ru (www.realty.ru).
Накладные расходы
Накладные расходы состоят из расходов на производство, управление, техническое обслуживание и прочее. Обычно составляют от 60 до 100% расходов на основную заработную плату. Так как главной задачей является минимизация затрат, но всех нюансов в подобном проекте учесть невозможно, то в данном случае накладные расходы возьмем в размере 70% от основной заработной платы:
(22)
Суммарные затраты
В итоге, получаем таблицу с суммарными затратами, с учетом только учтенных затрат. О затратах, которые мы не учитываем, но можем рассчитать, было сказано выше.
Таблица 4.8. Суммарные затраты на проекта.
№ |
Наименование статьи расхода |
Объём, руб. |
|
1 |
Основная заработная плата персонала |
468 675 |
|
2 |
Дополнительная заработная плата |
93 735 |
|
3 |
Отчисления с заработной платы |
146 226,6 |
|
4 |
Аренда оборудования и расходные материалы |
6 112,78 |
|
6 |
Накладные расходы |
328 072,5 |
|
Итого: |
1 042 822 |
Рис. 4.4. Распределение затрат на проект
4.7 Оценка экономической эффективности проекта
Будим исходить из двух позиций. В первой, еще раз обратимся к статистике, представленной в виде ежегодных аналитических отчетов Российского аналитического центра Info Watch. Во второй, осуществим банальный аналитический расчет, позволяющий сделать упрощенную модель оценки величины ущерба при осуществлении злоумышленником успешной атаки на защищаемый объект По материалам статьи А.В. Лукацкий «Информационная безопасность. Как обосновать?» КомпьютерПресс 11'2000 . При калькуляции учитывающей среднестатистического анализ количества производимых на корпоративную сеть атак за год, цифры будут значительно расти на глазах. Зная стоимость одного инцидента, легко выяснить стоимость нескольких. Так, по личным наблюдениям, среднестатистическое количество инцидентов в год не менее десяти на одну небольшую компанию. Преимущество, инциденты ведут к значительным финансовым и временным затратам и чаще всего вызваны халатностью пользователей. При этом не учитываются дальнейшие последствия взлома, которые могут привести к колоссальным убыткам в связи с потерей или изменением части информации находящейся в корпоративной среде или на отдельных пользовательских местах (например, главный бухгалтер, финансовый директор, генеральный директор, коммерческий директор и т.д.). Такие расчеты берутся из теории управления рисками и для расчетов требуют данные, являющиеся конфиденциальными для каждой фирмы.
В настоящее время значительно обострилась ситуация с мошенничеством и инсайдом в компании, взлом как правило происходит изнутри и часто остается без внимания. В ряде случаев с ним можно успешно бороться, при централизованном управлении информационными ресурсами организации, качественном подходе к подбору сотрудников в компанию, централизованном управлении компании и воспитании у каждого сотрудника корпоративной культуры.
4.7.1 Аналитический обзор центра Info Watch за 2007 г.
Проведя опрос 1450 Российских компаний в 2006 г. от малого бизнеса до очень больших предприятий, аналитический центр Info Watch получил убедительную картину, представленную в виде нескольких диаграмм в главе 2.3.
На гистограмме «Количество рабочих станций» (рис. 2.9), большинство респондентов относится к небольшим компаниям с числом рабочих станций 251-1000 единиц. Исходя из гистограммы «Наиболее опасные угрозы ИБ» (рис. 2.11), лидирующее место занимают позиции кража информации (65,8%), халатность сотрудников (55,1%), вредоносные программы (41,7%) и саботаж (33,5%). Исходя из гистограммы «Внешние и внутренние угрозы» (рис. 2.4) статистика приведенная Dalott Global Security Survey 2006, лидирующие позиции отнесены к внешним угрозам - вирусы и черви (63%), технологии фишинга и фарминга (51 %), шпионское ПО (48%), приемы социальной инженерии (25%). Как мы рассмотрели ранее фишинг и фарминг является разновидностью социальной инженерии, а вирусы и черви, как и шпионское ПО являются одними из инструментами при использовании методов социотехники. На гистограмме «Наиболее плачевные последствия утечки» (рис. 2.14) прямые финансовые убытки составили 46%, удар по репутации и плохие паблисити 42,3%, потеря клиентов 36,9% и беря во внимание диаграмму «Соотношение опасности угроз ИБ» (рис. 2.12) лидерство на стороне внутренних угроз. Это вполне достаточно, чтобы понимать, что человек всегда остается человеком, и застраховать компанию от человеческих ошибок пока в компании работают люди, просто невозможно. Уменьшить риск ущерба - стремление каждой компании, т.к. бизнес направлен на эффективное получение прибыли и финансовые потери всегда пагубно сказываются на жизни любой компании. Чтобы еще больше усугубить ситуацию, можно привести статистику убытков российских компаний за 2006-2007 года, если отдавать предпочтения цифрам. Но вполне достаточно сделать небольшой аналитический расчет, чтобы оценить стоимость простоя рабочей станции хотя бы на один рабочий день для небольшой компании которую мы рассматривали в этой части проекта.
4.7.2 Расчет потерь компании при взломе одного автоматизированного рабочего места
В качестве примера, возьмем предварительный расчет потерь компании от взлома одного узла сети отдела бухгалтерии или финансового отдела.
Учитывая собственную статистику из опыта работы в ряде предприятий, попытки проникновения в сеть происходят от одного до десяти раз в год (усредненная статистика).
Произведем расчет суммы ущерба, возникающего в следствие атаки на один защищенный объект, предполагая, что рабочее место выведено из строя на 8 часов, т.е. один рабочий день. Не составит труда рассчитать простой 2-4 часов рабочего времени с учетом одного автоматизированного рабочего места или группы мест (что часто бывает при компрометации информации, вирусных атаках и т.д.).
Исходные данные:
1. Время простоя вследствие атаки, tП (в часах)
2. Время восстановления после атаки, tВ (в часах)
3. Время повторного ввода потерянной информации, tВИ (в часах)
4. Зарплата обслуживающего персонала (администраторов, сотрудников help desk и т.д.), ZО (в рублях/месяц )
5. Зарплата сотрудников атакованного узла или сегмента, ZС (в рублях/месяц)
6. Число обслуживающего персонала (администраторов и т.д.), NО
7. Число сотрудников атакованного узла или сегмента, NС
8. Объем продаж атакованного узла или сегмента, O (в рублях за год)
9. Стоимость замены оборудования или запасных частей, ПЗЧ (в рублях)
10. Число атакованных узлов или сегментов, I
11. Число атак в год, n
Стоимость потерь от снижения производительности сотрудников атакованного узла или сегмента будет равна
(26)
Стоимость восстановления работоспособности атакованного узла или сегмента состоит из нескольких составляющих:
ПВ = ПВИ + ППВ + ПЗЧ , где (27)
ПВИ - стоимость повторного ввода информации;
ППВ - стоимость восстановления узла (переустановка системы, конфигурация и т.д.).
(28)
(29)
Упущенная выгода от простоя атакованного узла или сегмента составляет:
U = ПП + ПВ + V (30)
где
(31)
Таким образом, общий ущерб от атаки на узел или сегмент корпоративной сети организации составит:
(32)
Возьмем в качестве примера простой на один день одного рабочего автоматизированного места бухгалтера.
Время простоя работы и восстановления информации получаются эмпирическим путем на основе данных конкретного предприятия за прошедшие периоды работы в вычислительной сети:
Время простоя в следствии атаки tП (в часах) = 8 часов;
Время восстановления после атаки tВ (в часах) = 8 часов;
Время повторного ввода потерянной информации tВИ (в часах) = 8 часов.
Зарплата обслуживающего персонала в месяц(администраторов и т.д.),
ZО1 (сетевой администратор) = 40000 руб.;
ZО1 (сотрудник help desk) = 33000 руб.
Зарплата сотрудников атакованного узла или сегмента месяц (бухгалтерия /финн. группа),
ZС (кассира-операциониста) = 35000 руб.
Число обслуживающего персонала узла NО1 (администратор) = 1; NО2 (сотруднк из help desk ) = 2;
Число сотрудников атакованного узла или сегмента NС = 6
Объем продаж атакованного узла/сегмента O (в год) = 3000000 руб.
Стоимость замены оборудования ПЗЧ = 0 руб.
Число атакованных узлов/сегмента i = 1;
Число атак в год n = 1, после возьмем 5 и 10, что соответствует реальным статистическим данным
Зарплата администратора в час = 40000 / 192 = 208,333 руб
Зарплата обслуживающего персонала в час = 33000 / 192 = 171,875 руб
Зарплата бухгалтера в час = 35000/ 192 = 182,292 руб
ПП = 182,292 руб. *6 чел * 8 час = 8750,016 руб.
ПВИ = 182,292 руб. * 6 чел * 8 час = 8750,016 руб.
ППВ = (208,333 +171,875* 2)*8 = 4416,664 руб.
ПЗЧ = 0.
ПВ = ПВИ + ППВ + ПЗЧ = 8750,016 руб. + 4416,664 руб. + 0 = 13166,68 руб.
V = 3000000 / 2080 * (8+8+8) = 34615,38 руб.
U = ПП + ПВ + V = 8750,016 руб. + 13166,68 руб.+34615,38 руб. = 56532,14 руб.
Получаем, при одной атаке в год, потери составят 56532,14 руб.
А если таких атак будит пять и десять, тогда:
ОУ5 = 56532,14 руб. * 5 = 282 660,7 руб.
ОУ10 = 56532,14 руб. * 10 = 565 321,4 руб.
При этом, в расчет не взяты многие другие показатели, такие например, как риск потери/хищения конфиденциальной информации, кража базы клиентов организации, вывод из строя сервера или группы корпоративных серверов, установка программных закладок для последующего манипулирования корпоративной сетью и информацией циркулирующей в ней.
4.8 Выводы
В ходе проведения экономического обоснования была рассмотрена фаза планирования проекта, целью которого является проведение информационного аудита с целью обнаружения угроз использующих в своей основе методы социотехники и последующего проектирования системы защиты от подобного рода угроз. Разработан сетевой и календарный графики проекта, позволяющие реализовать его в течение пяти месяцев с учетом пожелания Заказчика, сила ми группы из 6 человек Исполнителя. При этом единовременно задействованными являются 3-4 человека. Расчетные трудозатраты составили 224 человеко-дней. При первичном планировании проект занял бы более 10 месяцев, если на каждой отдельной работе задействовать по одному человеку. В отдельных случаях, при распараллеливании единовременно начинали работать три человека. Тем не менее, при рациональном распределении ресурса, проект возможно реализовать за пять месяцев осуществив при этом меньшие затраты, нежели при первичном расчете стоимости и времени исполнения.
Общие затраты на проект составят 1 042 822 руб, причём около 59% уйдёт на заработную плату и различные отчисления с неё. Такие расходы являются целенаправленными, т.к. сам по себе аудит, что финансовый, что управленческий, что информационный являются на сегодня дорогостоящей услугой. Затраты сопоставимы по стоимости с внедрением системы по работе с клиентами (CRM), если систему внедрять с минимальными доработками в случае адаптации её под клиента в размере 5-10% доработки от исходного варианта под порядок 14-25 рабочих места (соответствует российской статистике по компаниям небольшого и среднего размера, оценивающей размер отдела продаж или отдела по работе с клиентами на 2006-2007 год). Такой процент доработки встречается сегодня редко, в силу специфики работы российских компаний, даже если сравнительно со стоимостью внедрения одной из самых дешевых на сегодня систем такого класса, такой как Microsoft Dynamics CRM 3.0/4.0.
Реализация проекта является экономически обоснованным мероприятием, учитывая статистику информационных рисков, которым подвержены сегодня компании и тем последствиям. К которым эти риски приводят, если их не учитывать. Такие затраты относятся к категории разовым, т.к. при внедрении системы защиты, на свое поддержание она потребует расходы на порядок меньше. При этом результаты проведение кадрового и социально-психологического анализа, а также информационно-технического анализа можно смело использовать при проведении управленческого аудита, а также при необходимости осуществления реструктуризации организации.
Навыки, по проведению обучающих программ для сотрудников, а также набор шаблонов использующихся при таких тренингах позволят использовать методику тренингов для различных обучающих целей в компании и для различных подразделений.
Продуктом данного проекта окажутся продукты повторного использования в дальнейшем, что является рациональным вложением денег при планировании затрат на такие услуги.
5. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
5.1 Введение
Правовое обеспечение и сопровождение большинства вопросов в любой организации независимо от формы и вида организации и учреждения - важная составляющая существования и жизнедеятельности организации. Начиная от интервирования соискателя на вакантную должность в организации, и завершая фазой увольнения сотрудника (по собственному желанию или по факту нарушения последним законодательных актов) и прекращения действия в этом случае Трудового договора или Контрактного договора с лицом вступившего в договорные отношения с организацией.
К сожалению, сегодня, специалисту по защите информации приходится быть ко всему прочему и «продвинутым юристом», чтобы максимально грамотно подходить к вопросам попадающих в поле его компетенции, и непосредственной деятельности. Причина такому положению вещей, являются условия формирования законодательной базы, т.к. её нельзя сегодня назвать сложившейся или сформировавшихся в виду массы неопределенностей и неоднозначности трактовок, как таковых по ряду ключевых определений и несостоятельности однозначно разрешать возникающие вопросы в области информационной безопасности и защите информации в целом. Причем основная масса вопросов решается далеко не в пользу учредителя организации и непосредственного работодателя. Коммерческая тайна легко способна стать достоянием масс и потерять свое главное и самое важное для работодателя свойство, без разумной и соответствующей компенсации за это нарушение, которое по сути и нарушением может быть не признано нашими законодателями в силу признания отсутствия факта законодательного нарушения со стороны нарушителя, либо признания это нарушение незначительным и отсутствием справедливым наказанием за него в виду неадекватности в законе стоимостных показателей в случае признания нарушения.
В связи с этим становятся востребованными не только должности специалиста по защите информации, администратора безопасности, но и должности, не имеющие высокого рейтинга и надлежащего признания вчера и пока еще сегодня, такие как социальный психолог, специалист по прикладной социологии, специалист по кадрам и тем более менеджер по управлению персоналом.
Гораздо дешевле на порядки выявить «врага» на подступах, нежели испытывать на себе последствия его деяний на организации по факту обнаружения таковых. В связи с чем считаю разумным уделять кадровому вопросу намного больше внимания, нежели это «принято» сегодня, разделяя мнение офицеров по информационной безопасности и тех специалистов кто поддерживает такой подход и сам в перспективе желает выйти на этот уровень и занимаемую должность.
Итак, при составлении сегодня нормативно-правового пакета документов в организации следует использовать следующую организационно-правовую базу:
1. Кодекс РФ об административных правонарушениях от 30.12.2001 № 195-ФЗ.
2. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ.
3. Уголовный кодекс РФ от 13.05.96 № 63-ФЗ.
4. Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации».
5. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
6. Указ Президента Российской Федерации от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера».
7. Федеральный закон от 27.07.2006№ 152-ФЗ «О персональных данных».
8. Федеральный закон от 18.12.2006№ 231-ФЗ «О введении в действие части четвертой Гражданского кодекса Российской Федерации».
Дополнительно, можно пользоваться следующим материалом:
1. ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
2. Гражданский кодекс РФ, ч. 1 от 30.11.94 № 5ГФЗ.
3. Гражданский кодекс РФ, ч. 2 от 26.01.96 № 14-ФЗ.
4. Гражданский кодекс РФ, ч. 4 от 18.12.2006 № 230-ФЗ.
5. Федеральный закон от 02.12.90 № 395-1 «О банках и банковской деятельности».
6. Стандарт Банка России «СТО БР ИББС-1.0-2006 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», Распоряжение Банка России от 26.01.2006 № Р-27.
7. Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях».
5.2 ПОДХОДЫ К ПРАВОВОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ ВНУТРЕННИХ УТЕЧЕК
Одна из основных проблем любой организации - защитить свои активы от посягательств извне и от внутренних утечек, как основной утечки конфиденциальной информации, ставшей очень остро перед каждым работодателем и как следствие службами ИБ.
Большинство людей не умеют хранить свои личные секреты, а чужих и подавно будут кому-то обязательно озвучены. Особенно, если руководитель заострит внимание на том, что эту информацию никто кроме нас двоих не должен знать. В связи с этим, ни один из сотрудников организации не должен знать больше, чем ему полагается по должности. Что на практике часто не выполняется.
На случай, если у сотрудника возникло желание поделиться информацией, которую ему положено знать по должности, в трудовом контракте с сотрудником следует прописать пункт о том, что за разглашение коммерческой информации сотрудника ждет «ответственность вплоть до уголовной». Как правило, другие виды наказания (взыскания, штрафы и пр.) хотя и являются существенными, но очень просто обходятся на практике. Например, при «сливе на сторону базы», сотрудник учтет сумму штрафа и припишет её своим заказчикам, заказавшие клиентскую базу. Однако все ли так просто и очевидно?
С одной стороны, допустим, при электронной переписки организация имеет право осуществлять контроль за всем трафиком, как исходящим, так и входящим. С другой стороны, если какой-то пользователь компании, иногда, будит переписываться с каким-то третьим лицом (используя ресурсы компании, корпоративный почтовый ящик с родственником, другом, заказчиком информации и т.д.) то у нас возникает коллизия в законодательстве:
· Как сотрудник компании, право на переписку со своими адресатами от своего имени в порядке осуществления функциональных обязанностей, согласно трудовому договору.
· Как гражданин РФ, сотрудник имеет право на тайну переписки.
Правоспособность сотрудника компании, в свою очередь, включает право на переписку со своими адресатами от своего имени и, как в предыдущем случае, право на тайну переписки. Но и сама компания имеет право на охрану информации (коммерческой тайны), в частности, на действия с целью предотвращения утечки коммерческой тайны по причине небрежности или неосторожности сотрудника (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»)
В России право на тайну переписки гарантируется любому гражданину РФ в соответствии со ст. 23 п. 2 Конституции РФ и подтверждается ст. 138 УК РФ («Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан»). Ограничение этого права возможно только Федеральным законом. В настоящее время не существует такого закона, который однозначно определяет право юридического лица на перлюстрацию электронной корреспонденции сотрудника с целью защиты коммерческой тайны и своей информационной системы.
При этом действуют:
· Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации» который дает организации-владельцу информации право на ее защиту;
· Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»
· Трудовой кодекс РФ, имеющий статус Федерального закона (197-ФЗ от 30.12.2001), в котором говорится, что «в трудовом договоре могут предусматриваться условия: о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной)» (ст. 57);
· комментарии к УК: «нарушение тайны переписки заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит».
Какие меры необходимо предпринять компании для обеспечения безопасности электронной переписки (защиты от внешних угроз и утечки конфиденциальной информации) и соблюдения прав сотрудника и его внешнего адресата? Ведь, если даже сотрудник компании был уличен в промышленном шпионаже с помощью автоматизированной системы контроля почты, он не только может выйти сухим из воды, но даже выдвинуть вместе со своим внешним адресатом встречные иски, которые имеют почти 100%-ный шанс быть удовлетворенными. По причине лишения юридической силы доказательство вины сотрудника компании не будет допущено к гражданскому судебному процессу (нарушение ст. 49 ч. 3 ГПК РФ). Кроме того, невозможным становится принятие мер дисциплинарного воздействия (например, увольнение, выговор). А доказательства вины сотрудника могут использоваться против организации в подтверждение нарушения Конституции РФ и для возбуждения уголовного дела в отношении виновных лиц.
Если подойти с рассмотрения внешних угроз (вирусы, попытка взлома сети, спам и т.д.), тогда проблема законности проверки почтового трафика облегчается. Поскольку кибермошенник действует всеми доступными нелегальными путями, то в его же интересах остаться анонимным, не раскрывать своего имени и местонахождения. Поэтому в случае принадлежности третьего лица, с кем велась переписка сотрудника компании к компьютерному андерграунду и его причастности к нарушению действующего законодательства (в частности, ст. 273 УК РФ «Создание и распространение вредоносных программ для ЭВМ»), тогда скорее всего претензий со стороны сотрудника компании в нарушении тайны его переписки не будит. Рассылка современных вредоносных программ, а равно и спама, осуществляется анонимно и носит не личный, но публичный характер. В таком случае сотрудник, можно считать не состоит в переписке с автором нежелательной рекламы или сетевого червя, коммуникации не направлены на длительный характер и являются предпринимательской (или преступной) деятельностью.
С точки зрения внутренних угроз, сложность состоит в случае с мониторингом почтовой корреспонденции с целью предотвращения утечки конфиденциальной информации, что вступило в противоречие с законом. Как в данном случае совместить конституционное право гражданина на тайну переписки и необходимость организации защитить собственные данные?
Вариант 1.
Компания правообладатель вносит дополнительное условие в трудовой договор со своим сотрудником о запрещении использования оборудования (собственности) компании в личных целях, в том числе для отправления личных писем по электронной почте. Эта мера устанавливается всего лишь дисциплинарная ответственность за сам факт использования оборудования работодателя с нарушением трудового договора. Здесь, остается лишь практическая возможность установления самого факта отправления сообщения по «неправильному» адресу. Если же адрес «правильный», но письмо содержит конфиденциальную информацию, то такая утечка останется без внимания.
Вариант 2.
Компания устанавливает автоматизированную систему (фильтр), которая сканирует почту сотрудника и совершает над ней некие действия в соответствии с настроенным алгоритмом. Администрирование фильтра поручено другому сотруднику компании (или третьим лицам по дополнительному договору). Этот вариант решает задачу исключения физического лица из процесса просмотра сообщения и тем самым возлагает ответственность за нарушение тайны переписки на неодушевленный фильтр. Однако это решение не позволяет исключить ответственность компании, так как управление фильтром осуществляет субъект, имеющий определенные договорные отношения с этой компанией. Субъект задает критерии проверки содержания почты, то есть, не читая сообщений физически, он нарушает право на тайну переписки путем возможности установить наличие определенных слов в тексте письма. По аналогии можно сравнить вариант с ситуацией, когда запечатанный фирменный конверт вскрывает установленный компанией робот-манипулятор. Он же осуществляет прочтение, анализ текста и изменяет оригинальную маршрутизацию сообщения.
Вариант 3.
За основу берется технология документооборота в государственных органах (широко представлена в ГОСТ и ОСТ). Она сводится к частичному обезличиванию автора письма по следующему сценарию:
· письмо отправляется на бланке (или с печатью организации);
· обязательно наличие подписи должностного лица, которое и является отправителем от имени организации;
· обязательно указание фактического автора документа.
С точки зрения реализации электронного документооборота эта технология предполагает, что сотрудник имеет право выйти с собственного электронного адреса во внешнее информационное поле исключительно через своего руководителя или специальное должностное лицо. Для формальности достаточно присваивать безопасным письмам метку, подтверждающую одобрение текста письма, отправляемого сотрудником от лица компании. Такая технология свидетельствует о факте направления письма ответственному лицу и, не нарушая права на тайну переписки, позволяет ознакомиться с содержимым письма. С другой стороны, она не совсем соответствует общепринятым стандартам бизнес-коммуникаций.
Вариант 4.
Сотрудник обращается к руководству компании, в которой он работает с просьбой следующего содержания: «Я … работающий по трудовому договору и сознающий свою ответственность за разглашение коммерческой тайны, прошу оказать содействие в анализе моей корреспонденции на предмет наличия в ней конфиденциальных данных».
Этот вариант:
1. уменьшает ответственность самого сотрудника за действительную неосторожность, поскольку свидетельствует о принятых им надлежащих мерах.
2. Его трудно назвать 100 % решением задачи официального доступа к тексту письма, так как заявление может быть объявлено незаконным вследствие невозможности отказа гражданина от личных неимущественных прав, каковым является тайна переписки.
Вариант 5.
В основу этого варианта ложится анализ норм Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации» и . Он определяет понятия собственника, владельца и пользователя информационных ресурсов, документированной информации и самих информационных ресурсов (массивы документов в информационных системах). А это, в свою очередь, позволяет отнести переписку сотрудника к документированной информации («зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать»), входящей в информационные ресурсы, собственником которых является компания. Для формальной реализации варианта необходимо:
1. внедрение в организации положения о конфиденциальности, описывающего нормы внутренней безопасности и список конфиденциальных документов. Каждый сотрудник должен быть с ним ознакомлен «под роспись».
2. требуется модификация содержания трудового договора. В частности, подписанный трудовой договор должен содержать условие об обязанности хранить коммерческую тайну, а также условие, что все, созданное сотрудником на рабочем месте, направляется в корпоративные информационные ресурсы.
Таким образом, компания получает право собственности на электронный документ и по своему усмотрению может им распоряжаться: отправлять его по указанному сотрудником адресу, архивировать, анализировать на предмет наличия коммерческой тайны.
Что делать если объектом защиты является клиентская база? В таком случае этот вариант нужно дополнить.
Итак, в трудовом договоре с сотрудником должно быть четко прописано:
· что является предметом коммерческой тайны;
· какие неприятности ожидают сотрудника, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником.
Сотруднику нужно убедительно разъяснить, что согласно ст. 10 и 11 Федерального закона «О коммерческой тайне» работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые по мнению работодателя составляют предмет коммерческой тайны предприятия, и за разглашение которых он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 14 этого закона сотрудник будит обязан возместить причиненные фирме убытки, возникшие в результате разглашения им конфиденциальной информации (размер убытков устанавливает суд). Такое разъяснение не исключает полностью утечки конфиденциальной информации с компании, но уменьшает процент желающих воспользоваться служебным положениям с целью последующего хищения информации.
Более того, клиентскую базу можно с юридической точки зрения, рассматривать как средство производства, которое является собственностью работодателя. Следовательно, воровство базы может рассматриваться как воровство чужого имущества, что является предметом статьи Уголовного кодекса (ст. 159 УК РФ). А также за хищение клиентской базы можно инициировать судебное преследование по четырем статьям Уголовного кодекса:
1. ст. 159 «Кража»;
2. ст. 272 «Несанкционированный доступ к компьютерной информации»;
3. ст. 183 «Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну»;
4. ст. 146 «Нарушение авторских и смежных прав».
5.3 РЯД НЮАНСОВ СВЯЗАННЫХ С КОММЕРЧЕСКОЙ ТАЙНОЙ
С начала этого года (2008 г.) законодательная база претерпевает значительные изменения. С учетом недееспособности российской законодательной базы в области защиты информации, это положительное течение. Однако, новые положения в ряде Федеральных законов, являющимися «кирпичиками» построения коммерческой тайны в компании независимо от формообразования, заставляют офицеров информационной безопасности более тщательно отнестись к составлению перечня у себя в компании объектов отнесенных к «коммерческой тайне». А уже имеющуюся и возможно, налаженную систему пересматривать. Причем, хорошей практикой здесь будит вовлечение первоклассных юристов в этот процесс. Иначе, путь для инсайдера в каждой компании как оставался открытым, так и продолжает оставаться. А защитники последних выискивают коллизии в законе, чтобы признать недействительным положение о коммерческой тайне в компании и тем самым невиновность их подопечных.
Итак, законодательная база с начала этого года, заставляет тщательно пересмотреть основополагающие организационные документы, иначе проблем не избежать и доказывать что-либо в суде будит бесполезно. Итак, пожалуй стоит начинать рассмотрение подход к составлению трудовых договоров, положений подразделений и должностных инструкций.
Вопросы, которые требуется выяснить, при составлении отмеченных документов, а также использования общей терминологии во всем пакете организационных документов:
1. Информация (что это такое) и какая информация подлежит охране и защите.
2. Перечень информации составляющей коммерческую тайну.
3. Время жизни или срок охраны составляющей коммерческую тайну.
4. Возмещение ущерба за разглашение информации отнесенной к коммерческой тайне.
Согласно новому положению понятие информация перестало быть выделенным. И стало тождественным ноу-хау, что является только интеллектуальной разработкой.
Получается, что все составляющие коммерческой тайны должны являться результатом интеллектуальной деятельности, иначе закон не будет их охранять.
Все кажется просто и логично, пока не сталкиваешься с составлением в конкретной организации перечня информации, составляющей коммерческую тайну (абзац 1 п. 1 ст. 10 закона «О коммерческой тайне»), без которого режим коммерческой тайны обладателем информации, составляющей коммерческую тайну, не может быть установлен.
По закону, в отношении определения состава коммерческой тайны ее обладатель полный «хозяин», в таком случае, что хочу, то и пишу в этот перечень. Но п. 8 ст. 11 Федерального закона «О коммерческой тайне», в котором работнику (потенциальному инсайдеру) законом прямо предоставляется «право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением им трудовых обязанностей».
Причем, в законе не уточняется вид доступа, который может быть как санкционированным, так и по ошибке, и в результате сбоя или по коварному злому умыслу инсайдера. И в суде взять такого сотрудника «за живое», когда его линия защиты будет построена на постулате незаконности установления режима коммерческой тайны в отношении той информации, разглашение которой ему вменяют, будит из мира фантастики. А незаконность в перечне информации составляющей коммерческую тайну организации, т.е. на разглашенную (читай - похищенная) им информацию присутствует неправомерное как он это полагает и на этом настаивает его защита. Обладателю разглашенной информации надо будет очень постараться, чтобы доказать суду обратное.
Определенная ранее законом «О коммерческой тайне» (п. 3 ч. 3 ст. 11) обязанность работника "не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период cpока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось» отменяется с введением в действие части четвертой ГК РФ.
Взамен этого Гражданский кодекс подтвердил наличие подобной ответственности и в дальнейшем нормой п. 2 ст. 1470 («гражданин, которому в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя стал известен секрет производства, обязан сохранять конфиденциальность полученных сведений до прекращения действия исключительного права на секрет производства»), но временные рамки действия ответственности при этом менее определенными и не ясны. Т.к. не сказано об условиях прекращения такого ограничения.
Таким образом, имеем в общем случае теоретическую неограниченность срока охраны информации, составляющей коммерческую тайну. Практически же ограничить этот срок может сам обладатель этой информации, обстоятельства непреодолимой силы, незаконные действия инсайдера и т. д. Можно сказать, что когда информация, составляющая коммерческую тайну, перестает охраняться её обладателем (отменяется режим коммерческой тайны) и\илн становится общедоступной, то сам объект охраны как таковой будет отсутствовать.
Следовательно, пострадавшему обладателю информации, составляющей коммерческую тайну, необходимо в нынешних условиях доказывать в ходе судебного разбирательства тот факт, что режим коммерческой тайны (право на конфиденциальность информации) вообще существовал и к определенному моменту еще не прекратил свое существование.
Ранее необходимость этого доказательства, конечно, тоже существовала, но как бы на втором плане, потому что временные рамки действия режима коммерческой тайны законодательно определялись более четко условными этапами: первый - действие трудового договора с распиской о режиме, второй - три года (или по соглашению энное количество лет) после прекращения трудового договора. Таким образом, обладатель информации, составляющей коммерческую тайну, в отношении которой он установил режим коммерческой тайны, должен заблаговременно продумать и решить возможные доказательства временных рамок существования режима коммерческой тайны, чтобы потом в суде иметь какие-то основания на своей стороне.
Об ущербе
Ранее существовала коллизия между «О коммерческой тайне» (п. 4 ч. 3 ст. 11) работник, виновный в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей, обязан был возместить причиненный работодателю ущерб, а в ст. 139 (п. 2) ГК РФ была закреплена норма, регулирующая трудовые правоотношения и в то же время предусматривающая гражданско-правовую ответственность в виде возмещения причиненных убытков.
Понятие же ущерба входит составной частью в понятие убытков, так как согласно ст. 15 ГК РФ убытки включают в себя реальный ущерб, а также упущенную выгоду. Таким образом, законом «О коммерческой тайне» была установлена ограниченная имущественная ответственность работников, разгласивших информацию, составляющую коммерческую тайну.
С введением и действие части четвертой ГК РФ законодательная коллизия была устранена путем отмены сразу обеих конфликтующих норм: ст. 139 ГК РФ и п. 4 ч. 3 ст. 11 закона «О коммерческой тайне».
Взамен этого ст. 1472 ГК РФ на нарушителя исключительною права на секрет производства, в том числена лицо, которое неправомерно получило сведения, составляющие секрет производства (коммерческую тайну), и разгласило или использовало эти сведения, возложена обязанность возместить убытки, причиненные нарушением исключительного права на секрет производства, если иная ответственность не предусмотрена законом или договором с этим лицом.
Однако не все стало однозначным в вопросе ответственности работников в рамках трудовых отношений за нарушение режима коммерческой тайны, так как этот вопрос еще регулируется нормами гл. 39 Трудового кодекса Российской Федерации (ТК РФ), которые предусматривают ограниченную материальную ответственность работников. А в соответствии со ст. 5 этого кодекса, в случае противоречий между ним и иным федеральным законом, содержащим нормы трудового права, применяется ТК РФ.
Ст. 241 гл. 39 ТК РФ определяет, что «за причиненный ущерб работник несет материальную ответственность в пределах своего среднего месячного заработка, если иное не предусмотрено настоящим Кодексом или иными федеральными законами». Это идет вразрез с требованиями ст. 238 гл. 39 того же кодекса, которая гласит в первом абзаце: «Работник обязан возместить работодателю причиненный ему прямой действительный ущерб. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат».
По этой причине, чтобы иметь какую-то весовую категорию в суде, необходимо правильно воспользоваться п. 7 ст. 243 ТК РФ о возможности полной материальной ответственности работника в случае разглашения сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную).
Каким в таком случае будет возмещение ущерб упоминаемое выше ГК РФ в ст. 1472?
Учитывая главенство в области норм трудового права ТК РФ, получается, что на возмещение инсайдером именно убытков (а не ущерба) можно рассчитывать только вне рамок трудовых отношений с ним, то есть при гражданско-правовой форме взаимоотношений нарушителя с работодателем или при отсутствии какой-либо правовой формы взаимоотношений вообще. В этом случае нарушителя и инсайдером уже нельзя называть, это уже является мошенничеством.
Подобные документы
Молодая семья как особая социальная категория. Основные тенденции в процессе формирования молодой семьи в России. Социально-экономические проблемы молодой семьи. Региональные социальные программы, направленные на социальную поддержку молодой семьи.
дипломная работа [125,8 K], добавлен 15.10.2009Понятие виртуальной реальности, ее рефлексивная основа. Изучение взаимосвязи действительной реальности и Интернета методом семантического дифференциала. Исследование актуальности вхождения в сетевые сообщества. Формирования новых коммуникационных связей.
реферат [16,0 K], добавлен 21.11.2009Понятие термина "утечка мозгов". Основные причины этого явления. Процесс "утечки мозгов" за рубеж из России, миграционное движение специалистов, имеющих учёные степени. Современное состояние этой проблемы. Решение проблемы "утечки мозгов" в Европе и в РФ.
презентация [340,1 K], добавлен 24.10.2012Исследование и разработка инновационных методов эффективной организации управления социальной работой, обработкой информации и диагностикой. Интегрированная база данных и повышение мобильности социальной службы, укрепление функций с помощью регламентов.
реферат [120,6 K], добавлен 26.02.2012Методологические проблемы социологических исследований. Функции социологии. Разработка программы социологического исследования. Обобщение и анализ данных, полученных в процессе его проведения. Описание и применение разных методов и методик в социологии.
учебное пособие [339,5 K], добавлен 14.05.2012Теоретические основы изучения методов сбора PR-информации. Основной обзор методов сбора и анализа PR-информации. Качественный анализ PR-информации – предварительный этап количественного исследования. Развитие образовательной деятельности в России.
курсовая работа [52,3 K], добавлен 18.06.2012Сущность понятия "социальная дискриминация женщин". Исторический аспект положения женщины в обществе. Проблемы женской занятости, их экономической независимости и безопасности. Социально-правовая поддержка женщин в России. Реализация прав женщин в России.
курсовая работа [44,0 K], добавлен 22.10.2010Развитие социологии. Изучение и обладание навыками использования Интернет ресурсами. Интернет как источник информации. Интернет-опросы - новая техника работы. Сетевые социологические исследования. Технологии организации и проведения сетевых исследований.
контрольная работа [32,3 K], добавлен 25.11.2008Социальная служба Центра первичной реабилитации несовершеннолетних группы риска "Дорога к дому". Ее функции. Схема деятельности Службы. Территориальная социальная служба. Положение о социально-реабилитационных центрах для несовершеннолетних.
доклад [7,4 K], добавлен 26.06.2002Теоретико-методологические подходы к анализу факторов влияния на социальную адаптацию молодежи. Элементы Интернет-среды. Профессиональный мониторинг и коммуникативные стратегии как механизмы эффективной адаптации российской молодежи. Интернет-сообщества.
дипломная работа [2,2 M], добавлен 19.06.2017