19 сентября, среда 18:44
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Введение режима банковской и коммерческой тайны

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Введение режима банковской и коммерческой тайны

    Стоит задача введения в Банке режима банковской и коммерческой тайны.
    Что необходимо для этого сделать?
    Какие нормативные документы должны быть разработаны и утверждены?
    Помогите пожалуйста!


    p/s:
    На данный момент:
    1. Со всех сотрудников берутся "обязательства о неразглашении сведений, составляющих банковскую и коммерческую тайну".
    2. Утвержден "перечень сведений, составляющих банковскую и коммерческую тайну".

  • #2
    Охх...Вот далась людям эта коммерческая тайна...
    anderstep
    Для начала вдумчиво почитайте ФЗ "О коммерческой тайне", imho, главное тут - юридически грамотно "увязать" вопросы, касающиеся коммерческой тайны с вопросами трудового законодательства.
    навскидку (к тому, что у Вас уже есть):
    - организовать учёт лиц, имеющих доступ к инф-ции, содержащей ком.тайну
    - описать для них порядок доступа и обращения с этой информацией
    - организовать контроль за соблюдением порядка доступа к этой информации
    - осуществить "грифование" материальных носителей информации, отнесённой к ком.тайне...
    Всё в наших руках...(с)

    Комментарий


    • #3
      Сообщение от anderstep Посмотреть сообщение
      Стоит задача введения в Банке режима банковской и коммерческой тайны.
      Что необходимо для этого сделать?
      Какие нормативные документы должны быть разработаны и утверждены?
      Помогите пожалуйста!


      p/s:
      На данный момент:
      1. Со всех сотрудников берутся "обязательства о неразглашении сведений, составляющих банковскую и коммерческую тайну".
      2. Утвержден "перечень сведений, составляющих банковскую и коммерческую тайну".
      Банковская тайна действует по-умолчанию, специальным образом вводить ее не нужно.

      Введение режима коммерческой тайны четко прописано в статье 10 соответствующего закона. Вы обязаны:
      1. Составить перечень сведений, составляющих коммерческую тайну
      2. Ограничить доступ к свдениям, составляющим коммерческую тайну
      3. Организовать учет сотрудников, ознакомившихся со сведениями, составляющими коммерческую тайну
      4. Определить порядок, при котором сотрудник имеет право передать информацию, составляющую коммерческую тайну, третьим лицам, если это требуется для выполнения его трудовых обязаностей, не нарушая режим коммерческой тайны
      5. Довести все это до сведения сотрудников и получить с них согласие на доступ к коммерческой тайне.

      Это теория. что имеем на практике.
      П. 1 вы выполнили
      П. 2 - вы должны иметь возможность доказать, что принятые вами меры защиты достаточны для того, чтобы исключить случайный достууп к защищаемой информации. Иначе в случае конфликта вы не сможете привлечь сотрудника к ответственности в силу п. 6 статьи 11 закона
      П. 3 - самый геморройный. Учитывать нужно именно сам факт доступа, т.е. ознакомления конкретного сотрудника с конкретными сведениями. В противном случае вы не сможете привлечь сотрудника к ответственности - невозможно разгласить то, к чему ты не имел доступа.
      П. 4 - зависит от конкретного трудового договора. Если, например, трудовые обязанности сотрудника обозначены очень общими словами, нарушитель в случае конфликта может обжаловать сам факт введения режима коммерческой тайны в соответствии с п. 8 статьи 11. Нужно аккуратно просмотреть трудовые договора и должностные инструкции сотрудников и, если нужно, написать кучу процедур.
      П. 5 - На данный момент у вас нет режима коммерческой тайны. Соответственно, работники априори не давали согласия на доступ к ней. Даже если у них в договорах уже прописано сргласие, этот пункт договора не имеет смысла - нельзя согласиться с тем, чего не существует. Вам нужно либо брать с них письменое согласие, либо включать доп. соглашение к трудовому договору. причем сотрудники не обязаны подписывать ни того, ни другого, и вы не вправе их заставить

      Комментарий


      • #4
        Товарищи, а кто должен вводить режим ком. тайны?

        Комментарий


        • #5
          Зависит от Устава Обычно или председатьль Правления, или соответствующий зампред.

          Комментарий


          • #6
            А кто исполнители?

            Комментарий


            • #7
              Сообщение от malotavr Посмотреть сообщение
              П. 2 - вы должны иметь возможность доказать, что принятые вами меры защиты достаточны для того, чтобы исключить случайный достууп к защищаемой информации. Иначе в случае конфликта вы не сможете привлечь сотрудника к ответственности в силу п. 6 статьи 11 закона.
              А если например будет создан нормативный документ "Положение о банковской и коммерческой тайне" в котором будет говориться, что в банке вводится режим коммерческой тайны и руководство Банка обязуется обеспечить защиту коммерческой тайны, и будет описан общий порядок доступа к информации конфиденциального характера?
              Сообщение от malotavr Посмотреть сообщение
              П. 3 - самый геморройный. Учитывать нужно именно сам факт доступа, т.е. ознакомления конкретного сотрудника с конкретными сведениями. В противном случае вы не сможете привлечь сотрудника к ответственности - невозможно разгласить то, к чему ты не имел доступа.
              Если я правильно понимаю ваше толкование, то нам необходимо организовать конфиденциальный документооборот, чтобы выполнить требования этого пункта? или можно обойтись другими организационными методами?

              Сообщение от malotavr Посмотреть сообщение
              П. 5 - На данный момент у вас нет режима коммерческой тайны. Соответственно, работники априори не давали согласия на доступ к ней. Даже если у них в договорах уже прописано сргласие, этот пункт договора не имеет смысла - нельзя согласиться с тем, чего не существует. Вам нужно либо брать с них письменое согласие, либо включать доп. соглашение к трудовому договору. причем сотрудники не обязаны подписывать ни того, ни другого, и вы не вправе их заставить
              А если вместо внесения изменений в существующие трудовые договора, у сотрудников берутся Обязательства примерно такого содержания:
              "Я,________________________________________________________________________________________
              (Ф.И.О.)
              являясь сотрудником Банка, на период трудовых отношений с Банком (его правопреемником) и после их окончания обязуюсь:

              1) не разглашать сведения, составляющие банковскую и коммерческую тайну Банка, которые мне будут доверены или известны по работе;
              2) выполнять относящиеся ко мне требования приказов, инструкций и положений по обеспечению сохранности банковской и коммерческой тайны Банка;
              3) передавать третьим лицам и раскрывать публично сведения, составляющие банковскую и коммерческую тайну Банка только с согласия Банка в лице Президента, либо должностного лица, прямо уполномоченного Президентом для принятия решения о предоставлении указанной информации, а так же в случаях, прямо предусмотренных текущим законодательством;
              4) в случае попытки посторонних лиц получить от меня сведения, составляющие банковскую или коммерческую тайну Банка, осуществить иные действия, направленные на нанесение ущерба Банку, немедленно сообщить об этом своему непосредственному руководителю и в Службу безопасности;
              5) не использовать знание банковской и коммерческой тайны Банка для занятий любой деятельностью, которая в качестве конкурентного или иного другого действия может нанести ущерб Банку или Клиентам банка;
              6) в случае моего увольнения все носители сведений, составляющих коммерческую тайну Банка (рукописи, черновики, чертежи, распечатки на принтерах, дискеты, диски и т.п.), которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы в Банке, передать своему непосредственному руководителю;
              7) об утрате или недостаче носителей коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов, металлических шкафов, личных печатей и других фактах, которые могут привести к разглашению банковской или коммерческой тайны Банка, незамедлительно сообщать своему непосредственному руководителю и в Службу безопасности.




              Я предупрежден(а), что в случае разглашения банковской и (или) коммерческой тайны Банка, ставшей известной мне в связи с исполнением моих трудовых обязанностей, администрация Банка имеет право уволить меня на основании п.6 ст.81 Трудового Кодекса РФ.
              Мне известно, что нарушение этих положений может повлечь административную (ст. 13.14 КОАП), а так же уголовную (ст. 183 УК РФ) ответственность.

              С перечнем сведений, составляющих банковскую и коммерческую тайну ознакомлен(а).



              ___________ ____________________
              (дата) ( Личная подпись)
              "
              то этого достаточно, чтобы считать П.5 выполненным?

              Комментарий


              • #8
                Сообщение от anderstep Посмотреть сообщение
                А если например будет создан нормативный документ "Положение о банковской и коммерческой тайне" в котором будет говориться, что в банке вводится режим коммерческой тайны и руководство Банка обязуется обеспечить защиту коммерческой тайны, и будет описан общий порядок доступа к информации конфиденциального характера?
                Я полагаю, вы читали закон? П. 2 статьи 10: "Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи". П. 1 содержит 5 требований: составить перечень, ограничить доступ, организовать учет, организровать порядок легальной передачи, маркировать носители и документы. Соответственно, только нормативных документов недостаточно - они не исключают для пользователя возможности случайного ознакомления.

                Сообщение от anderstep Посмотреть сообщение
                Если я правильно понимаю ваше толкование, то нам необходимо организовать конфиденциальный документооборот, чтобы выполнить требования этого пункта? или можно обойтись другими организационными методами?
                Для документов режим коммерческой тайны организовать достаточно просто. К сожалению, та же информация существует еще и в электронном виде, например в таблицах баз данных, и на них тоже нужно бы распространить ограничение доступа и учет. Обойтись только организационными мерами не получится.

                Сообщение от anderstep Посмотреть сообщение
                А если вместо внесения изменений в существующие трудовые договора, у сотрудников берутся Обязательства... то этого достаточно, чтобы считать П.5 выполненным?
                Здесь вам нужно бы со своими юристами поговорить. Если в ТД нет пункта о том, что работник для выполнения своих обязанностей получает доступ к коммерческой тайне работодателя, то подобное обязательство - это то, что ТК называет "существенным изменением условий". Такие изменения могут вноситься только дополнительным соглашением к ТД.

                При наличии такого пункта обязательство становится излишеним. В соответствии с ТК работник обязан выполнять локальные нормативные акты, выпущенные работодателем, в том числе и инструкции по защите информации. Вам достаточно подписи о том, что он с этими инструкциями ознакомился. Другое дело, что такой пункт может появиться в договоре только после того, как вы ведете режим коммерческой тайны, а не до того.

                Комментарий


                • #9
                  Банковская тайна является коммерческой тайной.
                  Например, БД с кредитными операциями клиентов, их счетов и прочее - является Банковской тайной?! Так?
                  Резервные образы серверов, на которых "крутятся" эти БД - это тоже БТ?! Так?
                  Можно к ним применить режим коммерческой тайны и отнести эти сведения к коммерческой тайне?
                  Если Банковская тайна действует и рапспространяется по-умолчанию, тогда нужно наносить на носители, содержащие БТ гриa "банковская тайна или коммерческая тайна" и прочие реквизиты?

                  Комментарий


                  • #10
                    Сообщение от exploit Посмотреть сообщение
                    Банковская тайна является коммерческой тайной.
                    Например, БД с кредитными операциями клиентов, их счетов и прочее - является Банковской тайной?! Так?
                    Резервные образы серверов, на которых "крутятся" эти БД - это тоже БТ?! Так?
                    Можно к ним применить режим коммерческой тайны и отнести эти сведения к коммерческой тайне?
                    Если Банковская тайна действует и рапспространяется по-умолчанию, тогда нужно наносить на носители, содержащие БТ гриa "банковская тайна или коммерческая тайна" и прочие реквизиты?
                    Банковской тайной является информация "об операциях, о счетах и вкладах ... клиентов и корреспондентов" банка (ФЗ "О банках и банковской деятельности", статья 26, первый абзац). Банковской тайной является информация, и эта информация модет содержаться и в базах данных, и на магнитных носителях, используемых для резервнгого копирования, и даже не иметь "объективного представления".

                    Банковская тайна будет одновременно являться коммерческой тайной, если вы введете в ее отношении режим коммерческой тайны (законодательство этого не запрещает). Аналогично, вы можете распространить требования о защите банковской тайны практически на любую другую конфиденциальную информацию, включая коммерческую тайну, поскольку "все служащие кредитной организации обязаны хранить тайну ... об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону" (там же).

                    Для того, чтобы отнести сведения к банковской тайне, не обязательно ставить гриф БТ, к тому же это не всегда технически осуществимо. Банковской тайной, например, может являться информация, содержащаяся в телефонном разговоре.

                    Вы обязаны обеспечивать конфиденциальность банковской тайны и обязаны применять для этого любые законные меры. Если вы считаете нужным маркировать носители - вы вправе это делать, хотя зачастую стандарты требуют обратного - не рекомендуется визуально выделять оборудование, используемое для обработки особо ценной информации. Прежде всего это относится к носителям информации, нотбукам и рабочим станциям.

                    Комментарий


                    • #11
                      П. 3 - самый геморройный. Учитывать нужно именно сам факт доступа, т.е. ознакомления конкретного сотрудника с конкретными сведениями. В противном случае вы не сможете привлечь сотрудника к ответственности - невозможно разгласить то, к чему ты не имел доступа.

                      Т.е. имеете ввиду ведение журналов аудита доступа к информации?
                      Однако в статье 3 определяется, что доступ к информации, составляющей КТ, - ознакомление С СОГЛАСИЯ ОБЛАДАТЕЛЯ или на ином законном основании...

                      Таким образом, согласно п.3 статьи 10, на мой взгляд, достаточно учитывать сотрудников, получивших ПРАВО доступа, а не ознакомившихся с информацией каким-либо образом.

                      Комментарий


                      • #12
                        Сообщение от Hitch Посмотреть сообщение
                        Таким образом, согласно п.3 статьи 10, на мой взгляд, достаточно учитывать сотрудников, получивших ПРАВО доступа, а не ознакомившихся с информацией каким-либо образом.
                        Спорное утверждение, хотя вы можете оказаться и правы. Я считаю, что, регистрируя допуск всесто доступа, вы лишитесь возможности привлекать сотрудника к уголовной и гражданской отвественоости. Часть 1 статьи 10 требует вести учет лиц получивших доступ, а не право доступа. Между правом на ознакомление и самим ознакомлением есть существенная разница. Если вы попытаетесь привлечь работника за разглашение коммерческой тайны к уголовной или гражданской ответственности, он предъявит вам встречный иск по статье 168 ГК о признании недействительным режима коммерчесой тайны и о признании ничтожными соответствующих пунктов трудового договора. У него есть все шансы выиграть дело именно из-за формального противоречия закону о коммерческой тайне.

                        В этом случае вы не сможете привлечь его к уголовной ответсвенности и не сможете стребовать с него полного возмещения убытков. При этом за вами останется право уволить рабботника за разглашение конфиденциальной информации и право получить возмещений убытков в размере среднемесячного дохода (в силу частичной материальной ответственности работника).

                        Комментарий


                        • #13
                          malotavr
                          регистрируя допуск вместо доступа, вы лишитесь возможности привлекать сотрудника к уголовной и гражданской отвествености.


                          Отчасти согласен, но если мы сейчас примем Вашу точку зрения, у нас могут начаться дебаты на еще более обширную тему "о доказательной силе логов".

                          Комментарий


                          • #14
                            Welcome, но только если эту ветку перенесут в "Юридический департамент" А то обсуждать юридические вопросы силами технарей - это извращение

                            Комментарий


                            • #15
                              !

                              Комментарий

                              Пользователи, просматривающие эту тему

                              Свернуть

                              Присутствует 1. Участников: 0, гостей: 1.

                              Обработка...
                              X