Конфиденциальность корпоративных данных

Конфиденциальностькорпоративных данных

Наталья ЛосеваМенеджер проектов Acsour2014

на примере данных о заработной плате

2

Понятие конфиденциальной информации

Разглашение конфиденциальной информации

Конфиденциальность данных о заработной плате

Меры обеспечения конфиденциальности информации при расчете заработной платы

Содержание

Понятие конфиденциальной

информации

Конфиденциальность информации (149-ФЗ «Об информации…») – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

4

Определение

1. Коммерческая выгода от информации для организации;

2. Недоступность в открытых источниках;

3. Соблюдение прав/интересов других субъектов;

4. Законность обладания информацией;

5. Применение работодателем специальных мер защиты.

5

Критерии конфиденциальности

Разглашениеконфиденциальной

информации

7

В большинстве стран нет единого нормативного акта, определяющего понятие конфиденциальной информации или коммерческой тайны.

США:• есть закон о коммерческой тайне (1979);• соглашение о сохранении коммерческой тайны при приеме;• специальная разъяснительная работа с сотрудником;• сотрудник может подписать заявление о том, что он не вправе

раскрывать секреты, полученные по предыдущему месту работы;Япония:

• нет законов либо актов, предусматривающих ответственность за разглашение коммерческой тайны;

• департаменты кадров контролируют неукоснительное соблюдение режима секретности сотрудниками;

• сказывается действие концепции «пожизненного найма» и лояльности сотрудников компании.

Зарубежная практика

Разглашение информации - ситуация, когда информация становится известна третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.(На основании №98-ФЗ О коммерческой тайне, ст. 3, п 9)

Неправомерный доступ – самовольное получение информации и ее использование лицом, не имеющим права ею владеть.

ТК РФ устанавливает ответственность только за РАЗГЛАШЕНИЕ конфиденциальной информации, но не устанавливает ответственности за неправомерный ДОСТУП.

8

Определение

Разглашение информации

Неправомерный доступ

9

Каналы утечки информации

Человеческий фактор, ошибки

Намеренный ущерб, воровство

Технические сбои электронных систем

Недостатки контроля доступа к конфиденциальной информации

Причины: Каналы утечки:

Подготовлено на основании источника: Исследование компании InfoWatch, 2013

Потеря мобильных устройств

Кража/ потеря оборудования

Съемные носители

Сеть (браузер,

Cloud)Электронная

почта

Бумажные документы

IM (текст, голос, видео)

Не определено

10

Неосведомленность сотрудников

Каждый 2-ой не знаком с правилами информационной безопасности

1/3 самовольно использует системы хранения файлов (Dropbox, Google Docs)

!

1/4 не блокирует компьютер, покидая рабочее место

@ @

Каждый 2-ой пересылает рабочие документы

с рабочего ящика на личный

4 из 5-тине уничтожают носители

с корпоративной информацией

Password:123456

Password:*******

Password:*******

1/3хранит пароли в легкодоступных

местах или использует один и тот же пароль

Конфиденциальная информация

Каждый 2ой уволенныйвыносил конфиденциальные

данные и использовал их на новой работе

Конфиденциальность данных

о заработной плате

Несмотря на то, что:

• в законодательстве РФ нет прямого указания, что организации обязаны относить информацию об оплате труда своих сотрудников к конфиденциальной,

и

• в российском праве отсутствует четкое определение понятия конфиденциальной информации,

…на большинстве предприятий информация о заработной плате сотрудников конфиденциальна.

12

Конфиденциальность данных о заработной плате

1. Во многих компаниях сотрудники на одинаковых позициях или позициях одного уровня получают разную оплату труда.

2. Во многих компаниях существует заметный разрыв между оплатой труда высшего менеджмента и ключевых сотрудников и оплатой труда остального персонала.

13

Основания для конфиденциальности

2,9 Скандинавия3,5 США

12,5 Россия 14,2 Бразилия, Китай, Индия

Личный фактор

Новые сотрудники

Ситуация на рынке

Слияния, поглощения

Подготовлено на основании источника: по данным компании Hay Group

14

ПОГЛОЩЕНИЕ

Российское производство (FMCG)

Международная компания:

ПРОБЛЕМЫ

Более высокие требования к обеспечению конфиденциальности информации.

Новая командатоп-менеджеров – 50 чел.

Различия корпоративной культуры.

Возросшая социальная напряженность в коллективе.

Аутсорсинг расчета заработной платы топ-менеджеров – 50 чел.;

+ Внутренний расчет остальных сотрудников – 3000 чел.

Пример: поглощение компании

Преимущества данного решения:

• Сохранение конфиденциальности уровня доходов новой команды менеджеров;

• Минимальные затраты по сравнению с переводом на аутсорсинг полного расчет ЗП;

• Снятие социальной напряженности в коллективе и сохранение занятости сотрудников отдела ЗП.

Решение при поглощении компании

более 3000 сотрудников

5 чел.

более 50 лет

Меры обеспеченияконфиденциальности

информации при расчете заработной платы

16

Задачи

1. 2. 3. 4.

Документы:

• Снизить количество конфиденциальных документов

Процессы:

• Организовать хранение и движение информации и документов

Люди:

• Ограничить круг лиц, имеющих доступ к информации

Ответственность:

• Повысить уровень ответственности

17

Внутренний расчет(in-house)

Единый Центр Обслуживания

Аутсорсинг расчета ЗП

Модели расчета ЗП

18

1. Четкий перечень конфиденциальной информации;

2. Внутренние политики;

3. Перечень КИ в трудовых договорах.

4. Источники конфиденциальной информации по ключевым сотрудникам (носители):• Кадровые документы (ТД, приказы, б/л)• Информация о З/П и начислениях в системе• Индивидуальные расчетные листки• Платежная ведомость в банк• Формы индивидуальных сведений для ПФ• Формы 2-НДФЛ для сдачи в налоговую• Внутренняя и управленческая отчетность

Конфиденциальное делопроизводство

1. Документы

19

1. Организация рабочих мест и рабочего пространства;

2. Места и правила хранения информации и документов (электронные в системе, сканы, оригиналы, копии и др.);

3. Средства информационной и электронной безопасности (решения DLP – Data Loss Protection);

4. Регламент и контроль движения документов и информации;

5. Реестр работников, имеющих доступ к КИ и документам;

6. Соглашения о конфиденциальности;

7. Мотивация работников, владеющих КИ.

Организация процессов

2. Процессы

20

Ограничение круга лиц

доступ есть доступ возможен

Главный бухгалтер

Сотрудники бухгалтерии

Директор по персоналу

Сотрудники HR службы

Ключевыесотрудники

Руководство

Остальныесотрудники

Открытаяинформация

Информация по остальным сотрудникам

Информация по ключевым сотрудникам

3. Люди

21

Ограничение круга лиц при аутсорсинге

доступ есть доступ возможен

Главный бухгалтер

Сотрудники бухгалтерии

Директор по персоналу

Сотрудники HR службы

Ключевыесотрудники

Руководство

Остальныесотрудники

Открытаяинформация

Информация по остальным сотрудникам

Информация по ключевым сотрудникам

Аутсорсинг - ограничение круга лиц в компании, кто может получить доступ к конфиденциальной

информации

3. Люди

22

За нарушение действующего законодательства РФ о коммерческой тайне предусмотрена дисциплинарная, административная, гражданско-правовая и уголовная ответственность.

Возможность привлечь сотрудников за разглашение коммерческой тайны к ответственности (по ТК РФ):

1. Официально установленный режим коммерческой тайны 2. Установление грифа «Коммерческая тайна» на документе3. Учет лиц, имеющих доступ к информации, составляющей коммерческую

тайну4. Доказательство ознакомления сотрудника с режимом

коммерческой тайны 5. Доказательства факта разглашения коммерческой тайны

третьим лицам6. Запрос и получение объяснений от сотрудника

Ответственность

4. Ответственность

23

1. Ответственность и соглашение о неразглашении (как часть SLA) на уровне юридического лица, в рамках ГК РФ

2. Ответственность и соглашение о неразглашении на уровне сотрудников Провайдера

3. Ограничение допуска сотрудников Провайдера к информации Клиента• только команда обслуживания• только для выполнения конкретных задач• только на период участия в оказании услуг

4. Согласование списка и полномочий участников при обмене информацией

Ответственность при аутсорсинге

4. Ответственность

Аутсорсинг расчета заработной платы ключевых сотрудников позволяет:

– Снизить риск разглашения конфиденциальной информации о доходах– Уменьшить объем документов с конфиденциальной информацией– Сократить круг лиц, имеющих доступ– Повысить надежность средств информационной защиты передачи

данных– Обеспечить непрерывность процесса расчета и снизить влияние

болезней, отпусков сотрудников бухгалтерии и пр.– Снизить нагрузку на отделы расчета З/П и кадровые отделы– Во многом снизить риски, связанные с трудовыми спорами, спорами с

налоговыми органами, трудовыми инспекциями и проч.

24

Конфиденциальность при аутсорсинге

25

Процесс расчета заработной платы ключевых сотрудников может быть организован таким образом, чтобы:

• выстроить надежные системы контроля учетных процессов;

• снизить риски, связанные с уходом ключевых сотрудников;

• сократить издержки вследствие централизации либо аутсорсинга учетных функций;

• повысить конфиденциальность данных.

Заключение

26

www.acsour.com info@acsour.сom Follow us on LinkedIn