Конфиденциальное письмо

Защищенная отправка конфиденциальных документов по электронной почте

Практически ежедневно мы с вами используем электронную почту, как средство для передачи важных документов другим людям. Как правило, такая передача осуществляется за периметр безопасности организации. Т.е. документы отправляются внешним получателям. Сейчас не будем говорить о том, как организована система защиты внутренней информации на предприятии. Но как быть с документами, покидающими организацию, с документами, использование которых мы с вами никак контролировать не можем?

Традиционные системы DLP(DataLossPreventionили DataLeakPrevention) контролируют отправку информации за пределы компании, и теоретически не позволяют конфиденциальной информации покинуть ее пределы. Однако, когда речь идет о необходимости отправить конфиденциальную информацию внешнему получателю, как можем мы быть уверены в ее сохранности?

Обозначим несколько ключевых требований к отправке конфиденциальной информации:

  • документ не должен попасть в чужие руки
  • получателем был именно тот, кому мы отправляем документ
  • необходимо чтобы защищенный документ невозможно было просмотреть на компьютере или устройстве, не принадлежащем получателю
  • защищенный документ не должен быть распечатан (если на то отсутствует разрешение)
  • невозможно сделать PrintScreencэкрана, отображающего документ

Другими словами, мы хотим, чтобы защищенный документ оставался конфиденциальным.

Электронная почта – это удобно и быстро. Пара кликов и приложенный к сообщению документ ушел к получателю. Поэтому люди повсеместно используют именно этот способ передачи электронных материалов на расстоянии. При этом способы обеспечения конфиденциальности вложения могут быть различными.

Рассмотрим несколько способов защит e-mailвложений.

  1. Установить пароль на документ. Пароль сообщить получателю.

+ Достаточно быстро и удобно

— Крайне ненадежная защита информации

— Защищенное вложение хранится у получателя в незашифрованном виде

— Вложение может быть открыто на другом компьютере с тем же паролем

  1. Шифровать вложение и прикладывать к электронному сообщению. Передать получателю ключ, расшифровывающий информацию

+ Надежная защита информации

— Сертификаты открытых ключей – платные. Получить их простому человеку или организации не так-то просто

— Расшифрованное вложение хранится у получателя в незащищенном виде

— Вложение может быть открыто на другом компьютере, если известен ключ расшифровки

  1. Настроить между отправителем и получателем защищенный канал связи.

+ Относительно надежно

— Как правило, вы не всегда знаете кому вы будете отправлять важную информацию

— Информация хранится у получателя в незащищенном виде

— Вложение может быть открыто на другом компьютере

  1. Отправка курьером опечатанной (а возможно и нотариально заверенной) копии документа

+ Относительно надежно

— Бумажныйдокумент хранится в незащищенном виде

— Хранить физический объект менее удобно, чем электронный

— Процесс долгий и связан с дополнительными хлопотами

— Документы могут быть похищены и просмотрены третьими лицами

  1. Автоматическая защита вложения перед отправкой средствами почтового сервера

+ Надежная защита информации

+ Быстро, удобно: не требует дополнительных действий от отправителя

+ Информация хранится у получателя в защищенном виде

— Дополнительные затраты на установку модуля защиты вложений на почтовый серве

А теперь сведем эти данные в единую таблицу:

Очевидно, что в некоторых случаях способы 1-4 могут представлять интерес. Однако, в повседневной практике они значительно усложняют процесс передачи конфиденциального документа.

Если стоит задача надежно и быстро защитить вложение электронной посты, то естественным выбором становится установка специального модуля защиты вложений на почтовый сервер организации. Этот способ имеет ряд неоспоримых преимуществ перед остальными и решает все насущные задачи, включая просмотр статистика использования вложения.

Прокомментировать обзор мы попросили экспертов рынка информационной безопасности

Михаил Калиниченко, генеральный директор компании SafenSoft:

«Для отправителя чрезвычайно важно не быть глубоко технически вовлеченным в механизм отправки письма с защищенным вложением. Другими словами, процесс отправки конфиденциального письма не должен ничем отличаться от отправки обычного, незащищенного письма. Мне часто приходится направлять важную информацию, представляющую коммерческую ценность для обеих сторон переписки. Удобным было бы просто приложить конфиденциальный документ к письму и отправить его. А получатель на своей стороне получает уже письмо с защищенным вложением.»

Денис Гасилин, директор по маркетингу компании StarForceTechnologies:

«Лично меня могла бы еще интересовать возможность контролировать кто, когда и где получил доступ к защищенному документу. Необходимо быть уверенным, что адресаты используют информацию так, как того требует ее характер и не допускают ее утечки третьим лицам.»

В любом случае способ передачи защищенных вложений e-mailкаждый выбирает для себя сам. Тем не менее, не стоит пренебрегать возможностями современных систем, которые позволяют быстро и надежно защитить вложение электронной почты и отправить их тому, кому это необходимо. Если же говорить о возможности мониторинга использования, то в этом случае контроль конфиденциальной информации выходит на абсолютно новый уровень.

Миф “Письмо с конфиденциальной информацией можно направлять на свою личную почту” и другие заблуждения о режиме конфиденциальности

Ivan K. LawyerFollow Jul 2, 2018 · 4 min read

Как в ходе изучения судебной практики, так и на основании своего профессионального опыта, к сожалению, сделал для себя вывод, что пока что в России нет четкого понимания того, что относится к конфиденциальной информации (коммерческой или иной охраняемой законом информации), как ее защищать и какие наступают последствия за ее разглашение. При этом такого понимания нет как у работодателя, который не всегда понимает как защитить конфиденциальную информацию, так и у работника, который не видит ничего страшного в разглашении конфиденциальной информации путем ее пересылки на свою личную электронную почту, скачиванию на флеш-носитель или направлении ее третьему лицу.

В данном посте я хотел бы как раз внести такое понимание и разобрать наиболее часто встречающиеся на практике случаи заблуждений в отношении конфиденциальной информации и работы с ней, включая пересылку такой информации работником на свою личную электронную почту.

https://giphy.com/gifs/artefr-secret-confidential-confidentiel-xT1XGRazAbrOJnNu9i

В первую очередь, стоит сказать, что такое конфиденциальная информация и режим конфиденциальности. Представляется, что на основании анализа различных норм законодательства следует дать следующие авторские определения:

Под конфиденциальной информацией следует понимать информацию, которая не является общедоступной или общеизвестной, и доступ к которой является ограниченным для третьих лиц.

Под режимом конфиденциальности понимается режим доступа к информации, ограниченной для третьих лиц, в рамках которого осуществляется регламентация порядка ее использования, способов и средств обеспечения ее защиты.

Таким образом, под режим конфиденциальности попадают различные виды тайн, охраняемых законом, каждая из которых имеет свое специальное регулирование, включая банковскую тайну, коммерческую тайну, тайну следствия, врачебную тайну, персональные данные и другие.

В данном посте мы будем говорить о коммерческой тайне, как наиболее часто втречающейся в практике.

https://giphy.com/gifs/stephen-colbert-secret-quiet-yow6i0Zmp7G24

Начем с того, что нужно сделать работодателю, чтобы ввести данный режим защиты информации. Сначала работодателю нужно выявить информацию, которая может составлять коммерческую тайну, так как не любая информация в силу ст.3 Федерального закона от 29.07.2004 N 98-ФЗ “О коммерческой тайне” (Далее — ФЗ “О КТ”).

Стоит сказать, что ст.5 ФЗ “О КТ” прямо перечисляет информацию, которая ни при каких обстоятельствах не может быть коммерческой тайной, например сведения, содержащиеся в уставе юридического лица. Далее, работодателю нужно выполнить примерно следующий порядок действий для введения режима коммерческой тайны.

Только при соблюдении вышеуказанных условий можно считать режим коммерческой тайны введенным и пользоваться всеми преимуществами, которые предлагает законодательство при его введении, в частности можно увольнять работников за разглашение коммерческой тайны, а также работников могут привлечь к уголовной ответственности (ст.183 УК РФ). Если же режим введен небрежно без соблюдения необходимых формальностей, то у работодателя не будет возможности уволить работника или завести на него уголовное дело в связи с разглашением коммерческой тайны. Чаще всего работодателям отказывают в какой-либо защите информации из-за ненадлежащего введения режима коммерческой тайны.

Соответственно, в случае введения надлежащего режима коммерческой тайны работнику следует внимательно прочитать документы в данной сфере и понять, что можно делать, а что нельзя. В частности, стоит обратить внимание может ли корпоративный компьютер использоваться в личных целях или его можно использовать только в рабочих. В любом случае при введении режима коммерческой тайны нельзя ее разглашать третьим лицам. Одним из способов разглашения является направление письма, содержащего коммерческую тайну компании, на свой личный электронный ящик. На данной позиции стоит и судебная практика (например, Апелляционное определение Московского городского суда от 6 февраля 2017 г. по делу N 33–4610/2017г.) указывая, что переслав документы с корпоративной почты на внешний электронный адрес — личный почтовый ящик, работник тем самым сделал их доступными третьему лицу — провайдеру услуг электронной почты (google.com, mail.ru, yandex.ru и др.).

Правда, недавно вышло Постановление Конституционного суда от 26 октября 2017 г. № 25-П в связи с которым практика по делам о разглашении коммерческой тайны (пересылка работником информации на личную электронную почту) может развернуться в пользу работников. Тем не менее, пока что судебная практика идет по пути, что пересылка работником информации на личную электронную почту является разглашением коммерческой тайны в связи с чем работник может быть уволен, а также подвергнут уголовному преследованию.

В судебной практике масса дел по увольнению работников в связи с разглашением коммерческой тайны (например, Апелляционное определение Московского городского суда от 6 февраля 2017 г. по делу N 33–4610/2017г.). При этом немало дел и в отношении привлечения работника к уголовной ответственности за разглашение коммерческой тайны, например, когда менеджер пересылал своим знакомым на их электронную почту цены поставщиков компании (Апелляционное постановление Вологодского областного суда от 01.07.2014 N 22–1200/2014).

Таким образом, хотелось бы сделать следующие выводы:

  1. Только введение полноценного и надлежащего режима коммерческой тайны в соответсвии с ФЗ “О КТ” позволяет работодателю уволить работника за разглашение коммерческой тайны или возбудить уголовное дело в отношении работника для привлечения его к уголовной ответственности.
  2. Любое разглашение коммерческой тайны работником (включая пересылку информации на личную электронную почту), которая стала ему известна в связи с осуществлением работы, может влечь увольнение работника, а также уголовную ответственность.
  3. Иные нарушения режима коммерческой тайны, не связанные с ее разглашением, например, несоблюдение обязанности по блокировке компьютера на рабочем месте, если это не привело к утечке информации, не является разглашением и, соответственно, нельзя применить, например, возможность увольнения к работнику.

В результате, миф можно считать опровергнутым. Хочу обратить также внимание, что режим конфиденциальной информации достаточно многогранная и сложная тема и в рамках данного поста были разобраны только отдельные вопросы в ограниченном виде.

Передаем коммерческую тайну в каждом письме!

Внимание! Данный пост содержит информацию, составляющую коммерческую тайну. Указанная информация не может быть использована, скопирована или разглашена Вами без письменного согласия обладателя на выполнение таких действий!
К чему это я ересь несу? Переписывался с одним человеком у которого на gmail’овской почте была вот такая удивительная подпись:<
КОММЕРЧЕСКАЯ ТАЙНА
Настоящее электронное письмо и приложения к нему содержат информацию, составляющую коммерческую тайну. Указанная информация не может быть использована, скопирована или разглашена Вами, если согласие на выполнение таких действий ранее не было предоставлено Вам обладателем такой информации. Если Вы получили настоящее электронное письмо по ошибке либо Вам не был ранее предоставлен доступ к информации, содержащейся в настоящем электронном письме и приложениях к нему, пожалуйста, немедленно поставьте в известность отправителя и удалите данное электронное письмо и приложения к нему.
Ну, а вообще, близкие по смыслу подписи в письмах встречаются довольно часто. В ряде организаций такая «приписка» к каждому письму является корпоративным стандартом. Вот, например, у одной компании занимающейся юридическим консалтингом:
ВНИМАНИЕ!
(i) Настоящее письмо содержит конфиденциальную информацию и коммерческую тайну и охраняется законодательством РФ о коммерческой тайне.
«КОММЕРЧЕСКАЯ ТАЙНА». Общество с ограниченной ответственностью _____________
111111, Россия, г. ______, ул._____, д._____, тел._______
(ii) Если Вы получили это письмо по ошибке, незамедлительно сообщите об этом отправителю письма и удалите его. Просим Вас не распространять письмо любым способом, а также не раскрывать его содержания третьим лицам.
(iii) Настоящее письмо порождает правовые последствия для ООО _______ только в том случае, если это предусмотрено специальным соглашением, заключенным с ООО ______, и оно подписано уполномоченным лицом со стороны ООО _______.
Давайте немного подумаем, что декларирует организация, которая маркирует каждое свое письмо такой припиской:
1. Мы не научили наших работников отличать конфиденциальную информацию от любой другой информации и на всякий случай «грифуем» всю переписку.
2. Мы, скорей всего, не используем средства предотвращения утечек информации (т.к. они будут выдавать алерты на каждое письмо)
3. Но мы надеемся на Вашу сознательность — ибо реальных юридических последствий разглашение данной информации не повлечет (возможно, за редким исключением). Но мы все таки напишем, что последствия будут — да, мы так работаем. Пожалуйста, не разглашайте нашу конфиденциальную информацию, если она к Вам попала.
Вспомнилось, ходили и активно репостились по соц.сетям в свое время записи на стенах такого содержания:
В ответ на новую политику «ВКонтакте» я настоящим объявляю, что все мои персональные данные, иллюстрации, рисунки, статьи, комиксы, картинки, фотографии, видео и так далее являются объектами моего авторского права (согласно Бернской Конвенции).
Для коммерческого использования всех вышеупомянутых объектов авторского права в каждом конкретном случае необходимо мое письменное разрешение!
«ВКонтакте» теперь является публичной компанией. Именно поэтому всем пользователям данной социальной сети рекомендуется разместить на своих страницах подобное «уведомление приватности», в противном случае (если уведомление не опубликовано на странице хотя бы однажды), вы автоматически разрешаете любое использование данных с вашей страницы, ваших фотографий и информации, опубликованной в сообщениях на стене вашей страницы.
Каждый, кто читает этот текст, может скопировать его на свою стену в «ВКонтакте». После этого вы будете находиться под защитой законов об авторском праве. Этим коммюнике я оповещаю «ВКонтакте» о том, что разглашение, копирование, распространение моей личной информации или любые другие противоправные действия по отношению к моему профилю в социальной сети строго запрещены. Вышеупомянутые запреты также налагаются на сотрудников, студентов, агентов или любой другой персонал, так или иначе подконтрольный «ВКонтакте» Информация, размещаемая в данном аккаунте является конфиденциальной. Нарушение приватности моих данных является нарушением закона (UCC 1 1-308-308 1–103 и Римского Статута)
Но подобный апогей юридической безграммотности в соц.сетях можно понять, хоть это и печально. Когда же аналогичной ерундой занимается солидная организация, то степень ее «солидности» резко падает. Или эти подписи как-то (кому-то) помогают в сохранение конфиденциальной информации?

Конфиденциальное письмо

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *