Передача конфиденциальной информации по электронной почте | Защищенная отправка конфиденциальных документов по электронной почте

Главная — Бизнес-задачи — Работа с конфиденциальной информацией — Передача конфиденциальной информации по электронной почте

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Отправка файлов с корпоративной почты на личный почтовый ящик может привести к негативным последствиям. Законодательство России стоит на стороне работодателя. Поэтому работника, нарушившего режим конфиденциальности, ждет увольнение или даже уголовное преследование. Отправлять конфиденциальную информацию можно только по защищенным каналам связи.

Что такое конфиденциальные данные?

Информация, требующая защиты от прочтения, подделки или распространения третьими лицами, называется конфиденциальными данными.

Под действие законов о защите информации подпадают:

персональные данные (согласно Федеральному закону № 152-ФЗ от 27.07.2006);
коммерческая тайна (ФЗ № 98 от 29.07.2004);
государственная тайна (Закон № 5485-1 от 21.07.1993).

Кроме этого, под защитой находятся данные, подпадающие под определение врачебной, служебной, профессиональной и банковской тайны. Все перечисленные виды информации нельзя отправлять на личную электронную почту. Это связано с тем, что письма с личного почтового ящика не защищены от третьих лиц.

Какие существуют способы защиты электронных писем?

Статья 63 Федерального закона № 126-ФЗ от 07.08.2003 «О связи» предусматривает ответственность операторов связи за нарушение сохранности данных. Проще говоря, защита каналов связи лежит на провайдере услуг электронной почты. Но это не поможет в том случае, если почтовый сервер взломают.

Существует несколько способов перехвата электронных писем:

вредоносные программы (вирусы);
атака сервера провайдера;
подмена почтового ящика.

Защитить электронную почту от этих угроз помогает:

1. Использование почтового клиента – специального ПО для контроля почты. Функционал этого ПО позволяет настраивать подпись сообщений, шифрование, другие способы защиты.
2. Отправление защищенных паролем архивов. Предоставление пароля получателю осуществляется лично либо по другим каналам связи.
3. Установка антивирусных программ на все ПК предприятия.
4. Использование DLP-систем, контролирующих перемещение данных и блокирующих их отправку за пределы периметра безопасности.

Кроме этого, есть другие варианты защиты важных файлов. Они эффективней стандартных методик.

Наиболее эффективные способы защиты

Существует три надежных методики:

шифрование;
настройка защищенного канала связи;
автоматическая защита вложений на почтовом сервере.

Шифрование рекомендует использовать ФСБ. Рекомендованные программы называют СКЗИ – средства криптографической защиты. Однако их надежность относительна. Получатель файлов после введения ключа хранит их незащищенными. Поэтому шифрование незначительно надежней отправки запароленных архивов.

Настройка защищенного канала связи обладает аналогичным недостатком. Файлы защищаются только от похищения в процессе передачи. А на компьютере получателя документация хранится в незащищенном виде.

Автоматическая защита вложений – быстрый, удобный, бесплатный способ сохранения коммерческой тайны. Достаточно установить модуль ПО на почтовый сервер. Его преимущество – наличие запрета просмотра файлов на неавторизованном компьютере. Это значит, что третьи лица не увидят переданные данные. К тому же отправителю предоставляется статистика использования вложений.

Как организовать режим конфиденциальности на предприятии?

Чтобы избежать разглашения коммерческой тайны, необходимо:

1. Определить, какая информация представляет ценность (может быть использована конкурентами).
2. Создать инструкцию по обращению с важными данными и систему контроля за соблюдением этой инструкции.
3. Составить перечень должностных лиц, допущенных к работе с коммерческой информацией.
4. Определить, каким образом будет осуществляться обмен данными в пределах предприятия и за периметром безопасности.
5. Все важные файлы пометить грифом «Коммерческая тайна».
6. Предоставить работникам из перечня допущенных уведомления о конфиденциальности под подпись (со списком документов для служебного пользования и мерами наказания за их передачу третьим лицам).

Соблюдение такого порядка необходимо. Он соответствует статье 183 Уголовного Кодекса РФ. Если не соблюсти формальности, привлечь сотрудника за нарушение режима конфиденциальности не получится.

Наказания, предусмотренные за нарушение режима конфиденциальности

В российском законодательстве ответственность сотрудников за нарушение режима конфиденциальности предусмотрена:

Трудовым кодексом (статья 81, пункт «в» – дисциплинарные взыскания);
Гражданским кодексом (статья 151 – возмещение убытков);
Кодексом об административных нарушениях (статьи 13.6, 13.12, 13.14, 13.15 – штрафы и другие административные взыскания);
Уголовным кодексом (статья 272 – штрафы, лишение свободы, исправительные или принудительные работы).

Работодатель самостоятельно определяет, какое наказание назначить сотруднику. Неправомерно назначенное наказание оспаривается в судебном порядке.

Судебная практика

В России суды всех инстанций стоят на стороне работодателей, соблюдающих порядок внедрения режима конфиденциальности. Примером этого являются:

Апелляционное определение от 6.02.2017 года по делу № 33-4610/2017, вынесенное Московским городским судом. Суд постановил, что примененное руководителем организации наказание в виде увольнения было правомерным. Работник нарушил условия подписанного им уведомления о конфиденциальности, отправив документацию с корпоративного почтового ящика на личный;
Апелляционное постановление от 01.07.2014 года № 22-1200/2014, вынесенное Вологодским областным судом. Суд постановил привлечь работника к уголовной ответственности за отправку расценок поставщиков компании-работодателя третьим лицам.
Апелляционное определение от 19.01.2017 года по делу № 33-478/2017, вынесенное Воронежским областным судом. Суд постановил, что примененное руководителем организации наказание в виде увольнения было правомерным. То, что передача файлов третьим лицам не была доказана, не стало причиной признания увольнения незаконным.
Исключение составляют случаи, когда работник доказывает отсутствие нанесенного ущерба и злого умысла. Например, Конституционный суд опубликовал постановление от 26.10.2017 года № 25-П, согласно которому рассылка рабочей информации на личные почтовые ящики другим сотрудникам предприятия не является нарушением режима конфиденциальности.

Чтобы передача конфиденциальной информации по Интернету была безопасной, следует использовать надежные способы защиты. Особенно это касается сохранения коммерческой тайны. Если же кто-то нарушает установленный режим секретности, его можно привлечь к административной или уголовной ответственности.

23.03.2020

Закажите бесплатный 30-дневный триал

Полнофункциональное ПО без ограничений по
пользователям и функциональности

ЗАКАЗАТЬ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.