Инсайдерская информация и коммерческая тайна – эффективные методы борьбы с инсайдерской информацией

ОТЛИЧИЕ ИНСАЙДЕРСКОЙ ИНФОРМАЦИИ ОТ ДРУГИХ ВИДОВ ИНФОРМАЦИИ С ОГРАНИЧЕННЫМ ДОСТУПОМ

Вообще конфиденциальный (от латинского confidentiale) означает доверие. Согласно п.7 ст.2 Федерального закона от 27.07.2006г. № 149 -ФЗ «Об информации, информационных технологиях и о защите информации» конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. В соответствии со ст. ст. 7-9 Федерального закона от 27.07.2006г. № 149 -ФЗ «Об информации, информационных технологиях и о защите информации», выделяется общедоступная информация (общеизвестные сведения и иная информация, доступ к которой не ограничен) и информация с ограниченным доступом (конфиденциальная). Данный термин, применим, поскольку п.2 ст.7 вышеуказанного закона устанавливает, что обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. Таким образом, термин «конфиденциальная информация» является определяющим по отношению ко всем видам информации с ограниченным доступом. Иными словами, если говорить о выделении самостоятельного института «инсайдерской информации», то следует говорить об инсайдерской информации, как об одном из видов конфиденциальной информации. 34

Необходимо отметить, что общим и для мировой практики, и для российского законодательства является введение в отношении инсайдерской информации специального режима ее обращения и использования. В широком смысле понятие «режим» (управление) интерпретируется как совокупность правил, норм, установленных применительно к определенным объектам управления. Относительно информации под правовым режимом понимаются нормативно установленные правила, определяющие степень открытости, прядок документирования, доступа хранения, распространения и защиты информации.35

22 апреля 1996г. был принят Федеральный закон № 39 “О рынке ценных бумаг”. Это был первый шаг в регулировании образующегося финансового рынка в России. Вообще в мировой практике понятию “служебная информация” соответствует понятие “инсайдерская информация”, так как это понятие является более универсальным, включающим в себя служебную, коммерческую, конфиденциальную и и.т.п. информацию. В вышеуказанном законе, вместо понятия “инсайдерская информация” было закреплено понятие “служебная информация”. Однако, данное понятие служебной информации, содержащееся в ст.31 Федерального закона от 22.04.1996г. № 39 –ФЗ «О рынке ценных бумаг», также не могло рассматриваться в качестве полноценного аналога понятия инсайдерской информации. Согласно, указанной статье служебной признавалась любая не являющаяся общедоступной информация об эмитенте и выпущенных им эмиссионных ценных бумагах, которая ставила лиц, обладающих в силу своего служебного положения, трудовых обязанностей или договора, заключенного с эмитентом, такой информацией, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг. В данном определении отсутствовало какое-либо указание на возможность влияния соответствующей информации на рыночные котировки ценных бумаг. Также перечень лиц, располагающих служебной информацией, содержащийся в ст.32 Федерального закона от 22.04.1996г. № 39 –ФЗ «О рынке ценных бумаг», был существенно уже круга потенциальных инсайдеров и не являлся достаточным для создания барьеров для злоупотребления на рынке ценных бумаг. 36Таким образом, служебная информация является понятием более широким по сравнению с инсайдерской информацией и относится не только к финансовому рынку.

34 Смирнов М.О. Понятие инсайдерской информации и общественная опасность ее незаконного использования//Уголовно-правовая политика и проблемы противодействия современной преступности. Сборник научных трудов.- Саратов: Сателлит, 2006. –С.306-309

35 Погосова А.С. Особенности правового режима инсайдерской информации на рынке ценных бумаг // Современное право. – М.: Новый Индекс, 2011, № 1. – С. 86-89

Многие международные организации и инвесторы давно критиковали Россию за отсутствие базового закона, признающего неправомерную торговлю с использованием инсайдерской информации и манипулированием финансовым рынком. Серьезные экономические интересы крупных игроков, огромный размах инсайдерской торговли, а также отсутствие поддержки федеральных властей отодвинули принятие закона об инсайдерской торговле более чем на десять лет. Однако потребность дифференцировать свою ресурсно зависимую экономику, угроза потери национального финансового рынка и значительный отток местных инвесторов в другие международные финансовые центры потребовали немедленного правового регулирования деятельности инсайдеров на рынке ценных бумаг. 37

Впервые на законодательном уровне определение инсайдерской информации было закреплено в связи с принятием Федерального закона от 27.07.2010г. № 224- ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации». При разработке Федерального закона от 27.07.2010г. № 224-ФЗ ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» был принят во внимание опыт Европейского союза в регулировании отношений, связанных с использованием инсайдерской информации. В основу разработки и принятия российского закона об инсайдерской информации легла европейская Директива 2003/6/ЕС об инсайдерских сделках и манипулировании рынком, принятая 28 января 2003г. По сравнению с системой правового регулирования США, которая не устанавливает на законодательном уровне (а только на судебном) понятие инсайдерской информации, российский закон прямо определил это понятие.

Согласно п.1 ст.2 Федерального закона от 27.07.2010г. № 224- ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» инсайдерская информация – это точная и конкретная информация, которая не была распространена или предоставлена (в том числе сведения, составляющие коммерческую, служебную, банковскую тайну, тайну связи (в части информации о почтовых переводах денежных средств) и иную охраняемую законом тайну), распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов, иностранной валюты и (или) товаров (в том числе сведения, касающиеся одного или нескольких эмитентов эмиссионных ценных бумаг (далее – эмитент), одной или нескольких управляющих компаний инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (далее – управляющая компания), одного или нескольких хозяйствующих субъектов, указанных в пункте 2 статьи 4 настоящего Федерального закона, либо одного или нескольких финансовых инструментов, иностранной валюты и (или) товаров) и которая относится к информации, включенной в соответствующий перечень инсайдерской информации, указанный в статье 3 настоящего Федерального закона. 38 Отличие инсайдерской информации от иных видов необщедоступной информации со специальным правовым режимом заключается в сложности, композиционности ее источников, а также в особенной связи между самой информацией и экономической судьбой финансовых инструментов, иностранной валюты и (или) товаров.39 В рассматриваемом определении инсайдерской информации справедливо обращается внимание на связь понятия инсайдерской информации с понятиями коммерческой, служебной, банковской тайны, а также тайны связи (в части денежных переводов). Рассмотрим отличия инсайдерской информации от вышеуказанных видов информации с ограниченным доступом, для того чтобы лучше понять, что представляет собой инсайдерская информация.

36 Емельянова Е.А. манипулирование рынком и неправомерное использование инсайдерской информации как факторы ограничения конкуренции//Конкурентное право.- М.: Юрист, 2012, № 1.-С.11-17

37 Ясус М.В. О новом законе об инсайдерской информации и манипулировании рынком // Вестник Высшего арбитражного суда Российской Федерации. 2011. № 2. С. 67-79.

38 Федеральный закон от 27.07.2010г. № 224-ФЗ “О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации” (ред. от 23.07.2013г.) // СПС ГАРАНТ.

39 Погосова А.С. Особенности правового режима инсайдерской информации на рынке ценных бумаг // Современное право. – М.: Новый Индекс, 2011, № 1. – С. 86-89

В соответствии с п. 1 ст.3 Федерального закона от 29.07.2004г. № 98 -ФЗ «О коммерческой тайне» коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. 40Причем, важно отметить, что согласно п.1 ст.4 данного закона право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений настоящего Федерального закона. Безусловно, в ряде случаев сведения, являющиеся инсайдерской информацией, могут одновременно являться и информацией, составляющей коммерческую тайну. Тем менее совпадение данных понятий происходит не всегда. Как указывает О.А. Городов, юридически значимыми признаками информации, наличие которых придает ей режим коммерческой тайны, выступают неизвестность информации третьим лицам и недоступность информации третьим лицам. Вместе с тем не любая инсайдерская информация является информацией, недоступной для третьих лиц. Представляется, что в качестве инсайдерской информации можно рассматривать и информацию, подлежащую раскрытию в соответствии с законодательством о рынке ценных бумаг, до момента такого раскрытия. 41

Формулировка “служебная тайна” встречается во многих нормативных актах, но соответствующего этим нормам законодательного определения служебной тайны не существует. Определение служебной тайны дано в Указе Президента РФ от 6 марта 1997г. (ред. от 23.09.2005) № 188 “Об утверждении Перечня сведений конфиденциального характера”. 42Согласно п.3 данного Указа служебная тайна представляет собой служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами. К объектам служебной тайны обычно относят военную, судебную, налоговую тайну, а также тайну следствия и т.д. Однако важно отметить, что соотношение инсайдерской информации и служебной тайны можно рассматривать аналогично, что и соотношение коммерческой тайны и инсайдерской информации. Так как признак недоступности информации для третьих лиц должен выступать в качестве основополагающего и придании сведениям служебного характера режима служебной тайны.

Вопросы, связанные со сведениями, составляющими банковскую тайну, регулируются Федеральным законом от 02.12.1990г. № 395-1- ФЗ «О банках и банковской деятельности». Согласно ст. 26 данного закона к банковской тайне относится информация об операциях, счетах и вкладах клиентов и корреспондентов. Также кредитная организация гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.43 Отличие инсайдерской информации от такого вида конфиденциальной информации, как, банковская тайна, состоит в том, что банковская тайна подлежит сохранению практически бессрочно. Должны быть проведены все допускаемые законом действия для того, чтобы эта информация осталась тайной, чтобы она не стала достоянием неограниченного круга лиц. Напротив, инсайдерская информация на финансовом и товарных рынках должна оставаться недоступной для третьих лиц достаточно короткое время, после чего она неизбежно раскрывается.44

Что касается тайны связи (в части информации о почтовых переводах денежных средств), то данный вопрос регулируется ст. 63 Федерального закона 07.07.2003 N 126-ФЗ « О связи». Согласно п. 4 данного закона – сведения о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях, о почтовых отправлениях и почтовых переводах денежных средств, а также сами эти сообщения, почтовые отправления и переводимые денежные средства могут выдаваться только отправителям и получателям или их уполномоченным представителям, если иное не предусмотрено федеральными законами.45 Согласно п.2 ст. 185 УПК РФ возможно наложение ареста на почтово-телеграфные отправления, их осмотр и выемка в учреждениях связи производятся на основании судебного решения, принимаемого в порядке, установленном УПК РФ.46 Таким образом, отличие инсайдерской информации от тайны связи (в части информации о почтовых переводах денежных средств) заключается в том, что тайна связи (в части информации о почтовых переводах денежных средств) не должна обязательно раскрываться через какое-то определенное время, а сохраняется бессрочно и может быть раскрыта только по соответствующему решению суда.

40 Федеральный закон от 29.07.2004г. № 98 «О коммерческой тайне» (ред. от 11.07.2011г.) // СПС ГАРАНТ.

41 Емельянова Е.А. манипулирование рынком и неправомерное использование инсайдерской информации как факторы ограничения конкуренции//Конкурентное право.-М.: Юрист, 2012, № 1.-С.11-17

42 Указ Президента РФ от 6 марта 1997г. (ред. от 23.09.2005) №188 “Об утверждении Перечня сведений конфиденциального характера”//СПС ГАРАНТ

43 Федеральный закон от 02.12.1990г. № 395-1 «О банках и банковской деятельности» (ред. от 02.12.2013г.) // СПС ГАРАНТ.

44 Гришаев С. Инсайдерская информация и манипулирование рынком: новое в законодательстве // Хозяйство и право. – М., 2010, № 11. – С. 3-18.

45 Федеральный закон от 07.07.2003 N 126-ФЗ «О связи» (ред. от 02.04. 2014г.) // СПС ГАРАНТ.

Ключевым отличием инсайдерской информации от других видов информации с ограниченным доступом, таких как банковская, служебная, коммерческая тайна, а также тайна связи (в части информации о почтовых переводах денежных средств) является то, что инсайдерская информация должна охраняться от третьих лиц достаточно короткое время, но затем она подлежит обязательному раскрытию. Сведения, составляющие инсайдерскую информацию должны быть раскрыты в соответствии с порядком, установленном приказом ФСФР России от 28.02.2012г. № 12-9/пз-н «Об утверждении Положения о порядке и сроках раскрытия инсайдерской информации лиц, указанных в пунктах 1-4, 11 и 12 статьи 4 Федерального закона «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации».47

Возможность введения в отношении одних и тех же сведений разных правовых режимов приводит к тому, что субъектами отношений, возникающих по поводу этой информации, становятся разные лица. Однако в этом случае разделение конфиденциальной информации на виды по субъектам-владельцам или пользователям не имеет смысла, поскольку конструкция инсайдерской информации несет «надстроечный» характер по отношению к иным видам тайн. Указанные обстоятельства свидетельствуют о появлении новой тенденции в правовом регулировании информации с ограниченным доступом. Она состоит в возможности оформления сложной по составу разновидности конфиденциальной информации, такой как инсайдерская информация, объединившая различные виды тайн, каждая из которых при этом не прекращает своего существования. Таким образом, возникло новое свойство информации с ограниченным доступом, а именно возможность объединения в один правовой режим различных видов конфиденциальной информации, каждый вошедший в объединение вид не прекращает своего существования. 48

47 Приказ ФСФР России от 28.02.2012г. № 12-9/пз-н «Об утверждении Положения о порядке и сроках раскрытия инсайдерской информации лиц, указанных в пунктах 1-4, 11 и 12 статьи 4 Федерального закона «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации». // СПС ГАРАНТ

48 Яковлева И.А. Инсайдерская информация в системе конфиденциальной информации: новые тенденции и проблемы//Научная дискуссия: вопросы юриспруденции: сборник статей по материалам XVII международной заочной научно-практической конференции. -М.: Международ. Центр науки и образования, 2013, № 9 (17).-С.59-63

Список литературы

1. Бикбулатов Т.И. Уголовно-правовая охрана инсайдерской информации в России // Уголовное право и современность: Сборник статей. – М.: Юрист, НИУ ВШЭ, 2012, Вып. 4 Т. 1. – С. 19-27

2. Гришаев С. Инсайдерская информация и манипулирование рынком: новое в законодательстве // Хозяйство и право. – М., 2010, № 11. – С. 3-18.

3. Емельянова Е.А. манипулирование рынком и неправомерное использование инсайдерской информации как факторы ограничения конкуренции//Конкурентное право.-М.: Юрист, 2012, № 1.-С.11-17

4. Погосова А.С. Особенности правового режима инсайдерской информации на рынке ценных бумаг // Современное право. – М.: Новый Индекс, 2011, № 1. – С. 86-89

5. Смирнов М.О. Понятие инсайдерской информации и общественная опасность ее незаконного использования//Уголовно-правовая политика и проблемы противодействия современной преступности. Сборник научных трудов.- Саратов: Сателлит, 2006. –С.306-309

6. Яковлева И.А. Инсайдерская информация в системе конфиденциальной информации: новые тенденции и проблемы//Научная дискуссия: вопросы юриспруденции: сборник статей по материалам XVII международной заочной научно-практической конференции. -М.: Международ. Центр науки и образования, 2013, № 9 (17).-С.59-63

7. Ясус М.В. О новом законе об инсайдерской информации и манипулировании рынком // Вестник Высшего арбитражного суда Российской Федерации. 2011. № 2. С. 67-79.

8. Федеральный закон от 27.07.2010г. № 224-ФЗ “О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации” (ред. от 23.07.2013г.) // СПС ГАРАНТ.

9. Федеральный закон от 27.07.2006г. № 149 «Об информации, информационных технологиях и о защите информации» (ред. от 28.12.2013г.) // СПС ГАРАНТ.

10. Федеральный закон от 29.07.2004г. № 98 «О коммерческой тайне» (ред.от 11.07.2011г.) // СПС ГАРАНТ.

11. Федеральный закон от 02.12.1990г. № 395-1 «О банках и банковской деятельности» (ред. от 02.12.2013г.) //СПС ГАРАНТ.

12. Федеральный закон от 07.07.2003 N 126-ФЗ «О связи» (ред. от 02.04. 2014г.) // СПС ГАРАНТ.

13. Федеральный закон от 22.04.1996г. № 39 «О рынке ценных бумаг» (ред. от 28.07.2009г.) // СПС ГАРАНТ

14. Приказ ФСФР России от 28.02.2012г. № 12-9/пз-н «Об утверждении Положения о порядке и сроках раскрытия инсайдерской информации лиц, указанных в пунктах 1-4, 11 и 12 статьи 4 Федерального закона «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации». // СПС ГАРАНТ

15. Указ Президента РФ от 6 марта 1997г. (ред. от 23.09.2005) №188 “Об утверждении Перечня сведений конфиденциального характера”// СПС ГАРАНТ

16. Уголовно-процессуальный кодекс РФ от 18.12.2001г. (ред. от 20.04.2014) № 174-ФЗ// СПС ГАРАНТ.

Коммерческая тайна и инсайдерская информация

Тайна – определенная неизвестная широкому кругу лиц информация. Строго говоря, тайной считается и такая информация, которая вообще никому неизвестна; в этом случае тайна есть нечто непознанное. Но такая (абсолютная) тайна здесь не рассматривается. В данном случае анализ ограничивается лишь такой информацией, которая стала известна одному лицу, но неизвестна другим лицам. Такая (относительная) тайна имеет своего владельца – для него указанная информация не является тайной; но она остается тайной для других лиц.

Если информация имеет коммерческую ценность, она именуется коммерческой тайной. При этом определение “коммерческий” не относится к содержанию этой информации. Информация любого рода может считаться коммерческой, если из нее можно извлечь выгоду. Кроме технической и технологической информации к коммерческой можно отнести экономическую, организационную, политическую, научную информацию. Информация о состоянии здоровья, о материальном положении, даже о привычках отдельных лиц также может составлять коммерческую тайну.

Коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Понятие коммерческой тайны можно условно разделить на отдельные виды тайн.

Предпринимательская тайна – изобретения, секреты производства, ноу-хау, методы управления финансами, маркетингом, сохраняемые в интересах фирмы в тайне от конкурентов.

Финансовая тайна – сохранение в недоступности для посторонних лиц бухгалтерских и финансовых документов, деловой служебной информации с целью защиты юридического лица от конкурентов; не распространяется на официальных представителей налоговой службы.

В свою очередь, коммерческая информация, не обладающая свойствами товара (корпоративная информация), подразделяется на два вида:

а) корпоративная информация, содержащаяся в тайне (деловая тайна);

б) корпоративная информация открытого доступа.

К коммерческой информации можно отнести и ноу-хау, которые условно разделяют на три большие группы:

1) информация о сущности незапатентованного изобретения, полезной модели или промышленного образца;

2) сведения, имеющие коммерческую ценность, но лишенные способности охраняться патентом;

3) добавочная информация, получаемая при использовании запатентованных технологий, которая, не будучи патентоспособной сама по себе, позволяет более эффективно использовать запатентованное устройство или способ.

Деловая тайна (корпоративная информация, содержащаяся в тайне) – это непатентоспособная информация административного, коммерческого, финансового, правового и иного характера. Деловая тайна, в отличие от ноу-хау, не является товаром и передается правообладателем другим субъектам гражданского права лишь в исключительных случаях: при реорганизации или по договору коммерческой концессии (франчайзинга). Деловая тайна, как и корпоративная информация открытого доступа, представляет собой объект корпоративных прав.

В свою очередь, к корпоративной информации открытого доступа относится коммерческая информация в корпоративных отношениях, не содержащаяся в тайне, например информация о деятельности акционерного общества, для которой установлено требование обязательного раскрытия, информация о деятельности общества с ограниченной ответственностью, подлежащая опубликованию в соответствии с требованием о публичной отчетности общества в случае публичного размещения облигаций и иных эмиссионных ценных бумаг.

Сложнее дать определение понятию “служебная тайна”. Если исходить из буквального значения употребленных в этом выражении слов, то следует считать, что служебная тайна – это информация, которая стала доступна гражданину при исполнении им своих служебных (трудовых) обязанностей. При этом не должно иметь значения, трудится такой гражданин в государственной или в негосударственной организации. Попытки ограничить понятие “служебная тайна” взаимоотношениями, возникающими только в рамках государственных организаций, не только не основаны на законе, но и неверны по самой своей сути; подобные попытки могут нанести лишь ущерб общему правовому регулированию.

Что касается содержания служебной информации, то это может быть либо коммерческая, либо личная тайна, например техническая, банковская, медицинская, адвокатская тайна.

Гражданское право многократно упоминает о коммерческой тайне и об отдельных ее категориях.

В статье 151 Основ гражданского законодательства Союза ССР и республик от 31 мая 1991 г., действующих на территории России с 3 августа 1992 г., объекты коммерческой тайны именовались секретами производства (техническая, организационная и коммерческая информация, составляющая секрет производства, – ноу-хау). В статье 139 действующего ГК РФ применялся термин “служебная или коммерческая тайна”, а в ст. 1027 ГК РФ – “охраняемая коммерческая информация”.

Все эти термины следует считать синонимами; во всех случаях имеется в виду неопубликованная информация, которая может представлять или представляет собой коммерческую ценность.

Как следует из норм законодательства, информация составляет служебную или коммерческую тайну, если она:

1) имеет действительную или потенциальную ценность в силу неизвестности информации третьим лицам;

2) к этой информации нет свободного доступа на законном основании;

3) обладатель информации принимает меры к охране ее конфиденциальности.

Очевидно, что при отсутствии хотя бы одного из этих признаков информация не должна пользоваться правовой охраной. Напротив, при наличии всех перечисленных признаков такая информация получает правовую охрану, причем эта охрана предоставляется автоматически.

Право на коммерческую тайну может быть нарушено: в рамках заключенного договора – лицом, получившим доступ к коммерческой тайне на основе договора; во внедоговорных отношениях – лицом, получившим незаконным путем доступ к коммерческой тайне.

В первом случае должны применяться нормы об ответственности за нарушение обязательств (гл. 25 ГК РФ), а во втором – нормы об обязательствах вследствие причинения вреда (гл. 59 ГК РФ). Именно на основе этих норм Кодекса должны устанавливаться основания ответственности, ее размеры, ответственность за своих работников, а также решаться другие вопросы гражданско-правовой ответственности.

В соответствии с заключенным договором ответственность лица, получившего доступ к коммерческой тайне, может быть ограничена либо, наоборот, дополнена условием об уплате неустойки.

Трудовой кодекс РФ 2002 г. не только допускает возможность включения в трудовой договор условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной) (ст. 57) но и вводит норму о возможности расторжения трудового договора по инициативе работодателя в случае однократного грубого нарушения работником трудовых обязанностей, выразившегося в виде “разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей” (подп. “в” п. 6 ст. 81).

Кроме этого, ст. 243 ТК РФ устанавливает, что работник несет полную материальную ответственность за “разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами”.

Кроме того, информация может быть объектом правовых отношений только при ее документировании, т.е. она законодательно признается в качестве объекта отношений только вместе с материальным носителем, на котором она зафиксирована. Отношения, складывающиеся по поводу незадокументированной информации, российским законодательством не регулируются.

В России в настоящее время в банковском законодательстве содержится понятие “инсайдер” (физическое лицо, способное воздействовать на принятие решения о выдаче кредита банком), но отсутствует легальное определение “инсайдерская информация”. В Законе “О рынке ценных бумаг” содержится понятие “служебная информация” – любая, не являющаяся общедоступной информация об эмитенте и выпущенных им эмиссионных ценных бумагах, которая ставит лиц, обладающих в силу своего служебного положения, трудовых обязанностей или договора, заключенного с эмитентом, такой информацией, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг (ст. 31).

В проекте федерального закона “Об инсайдерской информации” определяется круг потенциальных инсайдеров, т.е. лиц, имеющих доступ к инсайдерской информации в силу: 1) участия в уставном (складочном, паевом) капитале (фонде) эмитента или его аффилированного лица; 2) членства в органах управления эмитента или его аффилированного лица; 3) заключенного с эмитентом или его аффилированным лицом трудового или гражданско-правового договора; 4) предоставленных ему полномочий как должностному лицу органа государственной власти или местного самоуправления.

Инсайдер (от англ. inside – внутри) – любое лицо, имеющее доступ к конфиденциальной информации о делах фирмы благодаря своему служебному положению и родственным связям, соответственно, инсайдерская информация – информация внутренняя.

Зарубежное законодательство подразумевает под инсайдерской информацией не только сведения, зафиксированные на определенных носителях, но и не получившие такого отображения (например, сформулированные в устной форме квалифицированные суждения или коммерческие предложения), что, наверное, было бы полезно и для российского законодателя.

Главной особенностью, по которой законодатель относит такую информацию к разряду инсайдерской, является характер информации, используемой при осуществлении сделок с акциями. Данный признак прямо включен в определение инсайдерской информации, содержащееся в Директиве 2003/6/EC “Об инсайдерской деятельности и рыночном манипулировании”.

Законодательство стран с развитым финансовым рынком выделяет два признака, по которым информация признается инсайдерской: информация должна быть существенной, значимой и недоступной широкому кругу инвесторов.

Кодекс определяет инсайдерскую информацию как существенную информацию о деятельности общества, акциях и других ценных бумагах общества и сделках с ними, которая не является общедоступной и раскрытие которой может оказать существенное влияние на рыночную стоимость акций и других ценных бумаг общества.

Российское законодательство вместо термина “инсайдерская” (или внутренняя) информация использует понятие “служебная информация”. В нормативных правовых актах ФСФР России понятия “служебная информация” и “инсайдерская информация” отождествляются. Институт служебной информации в России разработан слабо, однако существующие нормы находятся в русле мировых тенденций определения инсайдерской информации и запрета инсайдерской торговли.

Дата добавления: 2014-01-11 ; Просмотров: 1894 ; Нарушение авторских прав? ;

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

Современные методы борьбы с инсайдерами

“Консультант”, 2011, N 9

“Кто владеет информацией, тот владеет миром” – этот знаменитый афоризм Уинстона Черчилля как никогда актуален именно в современном обществе. Знания, идеи и технологии выходят на первый план, и лидерство на рынке зависит от того, насколько успешно компания может управлять своим интеллектуальным капиталом.

В этих условиях особое значение приобретает информационная безопасность организации.

Любая утечка информации к конкурентам или обнародование сведений о внутренних процессах мгновенно сказываются на тех позициях, которые компания занимает на рынке.

Система информационной безопасности должна предусматривать защиту от самых разных угроз: технических, организационных и тех, причиной которых является человеческий фактор.

Как показывает практика, основным каналом утечки информации являются инсайдеры.

Враг в тылу

Обычно инсайдером принято называть сотрудника компании, который приносит ей ущерб путем разглашения конфиденциальной информации.

Однако если мы рассмотрим три главных условия, обеспечение которых и является целью информационной безопасности, – конфиденциальность, целостность, доступность, – это определение можно расширить.

Инсайдером можно назвать сотрудника, имеющего легитимный служебный доступ к конфиденциальной информации предприятия, который становится причиной разглашения, искажения, порчи или недоступности информации.

Такое обобщение допустимо, потому что в современном мире нарушение целостности и доступности информации зачастую влечет за собой гораздо более тяжелые последствия для бизнеса, чем разглашение конфиденциальных сведений.

Для многих предприятий прекращение бизнес-процессов даже на непродолжительное время грозит ощутимыми финансовыми потерями, а нарушение функционирования в течение нескольких дней может нанести столь сильный удар, что последствия его могут стать фатальными.

Различные организации, изучающие бизнес-риски, регулярно публикуют результаты своих исследований. Согласно им инсайд уже на протяжении многих лет стабильно занимает первое место в списке причин нарушения информационной безопасности.

В связи с устойчивым ростом общего количества инцидентов можно сделать вывод, что актуальность проблемы все время возрастает.

Модель угроз

Для того чтобы выстроить надежную эшелонированную систему информационной безопасности, которая поможет эффективно бороться с проблемой, необходимо в первую очередь создать модель угроз.

Нужно понять, кто такие инсайдеры и что ими движет, почему они совершают те или иные действия.

Существуют разные подходы к созданию таких моделей, однако для практических целей можно воспользоваться следующей классификацией, которая включает в себя все основные типы инсайдеров.

Внутренний “хакер”

Такой сотрудник, как правило, обладает инженерной квалификацией выше среднего уровня, понимает устройство ресурсов предприятия, архитектуру вычислительных комплексов и сетей.

Действия по взлому совершает из любопытства, спортивного интереса, исследуя границы собственных возможностей.

Обычно он осознает возможный вред от своих действий, поэтому редко приносит ощутимый ущерб.

Степень опасности средняя, поскольку его действия могут вызвать временную остановку некоторых происходящих в компании процессов. Выявление деятельности возможно в первую очередь техническими средствами.

Безответственный и низкоквалифицированный сотрудник

Может обладать различными навыками и работать в любом подразделении предприятия.

Опасен потому, что не имеет обыкновения задумываться о последствиях своих действий, может работать с информационными ресурсами компании “методом проб и ошибок”, ненамеренно уничтожать и искажать информацию.

Обычно не запоминает последовательности своих действий, а обнаружив негативные последствия, может просто умолчать о них.

Может раскрыть сведения, составляющие коммерческую тайну, в личном разговоре с приятелем или даже при общении на интернет-форумах и в социальных сетях.

Степень опасности очень высокая, особенно с учетом того, что этот тип нарушителя встречается чаще других. Последствия его деятельности могут быть гораздо серьезнее, чем у сознательного злоумышленника.

Для того чтобы предотвратить последствия совершенных им действий, необходимо принять целый спектр различных мер, как технических (авторизация, обязательное разделение рабочих сессий по аккаунтам), так и организационных (постоянный контроль со стороны руководства за процессом и результатом работы).

Психологически неустойчивый человек

Так же как представитель предыдущего типа, может работать на любой должности и обладать весьма разной квалификацией. Опасен по причине склонности к слабомотивированным действиям в условиях психологического дискомфорта: при экстремальных ситуациях, психологическом давлении со стороны других сотрудников или просто сильном раздражении.

В аффективном состоянии может выдать конфиденциальную информацию, повредить данные, нарушить привычный ход работы других людей.

Степень опасности средняя, однако этот тип нарушителя встречается не так часто.

Для предотвращения негативных последствий его поступков эффективнее всего использовать административные меры – выявлять таких людей еще на этапе собеседования, разграничивать доступ к информации и поддерживать комфортный психологический климат в коллективе.

Оскорбленный, обиженный сотрудник

Самая широкая группа потенциальных нарушителей режима информационной безопасности.

Теоретически совершать недружественные по отношению к компании поступки способно абсолютное большинство сотрудников.

Это может произойти в том случае, если руководство проявляет неуважение к личности работника или его профессиональным качествам, и когда это сказывается на уровне оплаты труда.

Потенциально такой тип инсайдеров представляет очень высокую опасность – возможны и утечки, и повреждения информации, причем вред от них будет гарантированно ощутимым для бизнеса, поскольку сотрудник наносит его сознательно и хорошо знает все уязвимые места.

Для выявления деятельности нужны как административные, так и технические меры.

Нечистый на руку сотрудник

Сотрудник, который пытается пополнить свое личное благосостояние за счет имущества компании, в которой он работает. Среди присваиваемых вещей могут оказаться различные носители конфиденциальной информации (жесткие диски, флэш-накопители, корпоративные ноутбуки).

В этом случае есть риск попадания информации к людям, для которых она не предназначалась, с последующей публикацией или передачей конкурентам.

Опасность средняя, но такой тип встречается нередко.

Для выявления нужны в первую очередь административные меры.

Представитель конкурента

Обладает, как правило, высокой квалификацией, занимает должности, обеспечивающие широкие возможности для получения информации, в том числе и конфиденциальной. Это либо завербованный, перекупленный конкурентами действующий сотрудник (чаще), либо специально внедренный в компанию инсайдер.

Степень опасности очень высокая, поскольку вред причиняется сознательно и с глубоким пониманием ценности информации, а также уязвимых мест компании.

Для выявления деятельности нужны и административные, и технические мероприятия.

Что похищаем?

Понимание проблемы инсайда невозможно без рассмотрения характера похищаемой информации.

Согласно статистике персональные данные клиентов, а также сведения о компаниях-клиентах и партнерах – самые востребованные, они похищаются более чем в половине случаев. Далее следуют детали сделок, условия контрактов и поставок. Также большой интерес вызывают финансовые отчеты.

При формировании комплекса защитных мер перед каждой компанией неизбежно возникает вопрос: какая конкретно информация требует специальных защитных мер, а какая в них не нуждается?

Разумеется, основанием для таких решений являются данные, полученные в результате анализа рисков. Однако зачастую предприятие располагает ограниченными финансовыми ресурсами, которые можно потратить на систему информационной безопасности, и их может не хватить на то, чтобы минимизировать все риски.

Два подхода

К сожалению, не существует готового ответа на вопрос: “Что защищать в первую очередь”.

К решению этой задачи можно подойти с двух сторон.

Риск – это комплексный показатель, который учитывает как вероятность той или иной угрозы, так и возможный ущерб от нее. Соответственно, при расстановке приоритетов безопасности можно ориентироваться на один из этих показателей. Это значит, что в первую очередь защищается та информация, которую легче всего похитить (например, если к ней имеет доступ большое количество сотрудников), и та, похищение или блокирование которой приведет к наиболее тяжелым последствиям.

Важным аспектом проблемы инсайда является канал передачи информации. Чем больше физических возможностей несанкционированной передачи информации за пределы компании, тем выше вероятность того, что это произойдет.

Механизмы передачи

Механизмы передачи можно классифицировать следующим образом:

• устная передача (личный разговор);
• технические каналы передачи данных (телефонная связь, факсимильная связь, электронная почта, системы обмена сообщениями, различные социальные интернет-сервисы и т.д.);
• переносные носители и мобильные устройства (мобильные телефоны, внешние жесткие диски, ноутбуки, флэш-накопители и т.д.).

Согласно исследованиям в наше время самыми частыми каналами передачи конфиденциальных данных являются (по принципу убывания): электронная почта, мобильные устройства (в том числе ноутбуки), социальные сети и иные интернет-сервисы (такие, как системы мгновенного обмена сообщениями) и прочее.

Для контроля технических каналов могут применяться различные средства, в широком ассортименте представленные сейчас на рынке средств безопасности.

Например, системы контентной фильтрации (системы динамической блокировки), средства ограничения доступа к носителям информации (CD, DVD, Bluetooth).

Также применяются административные меры: фильтрация интернет-трафика, блокировка физических портов рабочих станций, обеспечение административного режима и физической охраны.

При выборе технических средств защиты конфиденциальной информации необходимо применять системный подход. Только таким образом можно добиться наибольшей эффективности от их внедрения.

Нужно также понимать, что задачи, стоящие перед каждой компанией, уникальны, и использовать решения, применяемые другими организациями, зачастую просто невозможно.

Борьба с инсайдом не должна вестись сама по себе, она является важным компонентом общего бизнес-процесса, направленного на обеспечение режима информационной безопасности.

Он должен осуществляться профессионалами и предусматривать полный цикл мероприятий: разработку политики информационной безопасности, определение области действия, анализ рисков, выбор контрмер и их внедрение, а также аудит системы информационной безопасности.

Если предприятие не обеспечивает режим информационной безопасности во всем комплексе, то риски финансовых потерь от утечек и порчи информации резко возрастают.

Минимизация рисков

Несколько практических рекомендаций по минимизации рисков, связанных с инсайдом, приведены ниже.

Проверка

1. Тщательная проверка соискателей, претендующих на любые должности в компании. Рекомендуется собрать максимум информации о кандидате, включая содержимое его страниц в социальных сетях. Также может помочь обращение за характеристикой на предыдущее место работы.
2. Особенно тщательной проверке должны подвергаться кандидаты на должности инженеров IT. Практика показывает, что более половины всех инсайдеров – системные администраторы и программисты.
3. При приеме на работу должна проводиться хотя бы минимальная психологическая проверка кандидатов. Она поможет выявить соискателей с неустойчивой психикой.

Право доступа

1. Система разделения доступа к корпоративным ресурсам. На предприятии должна быть создана регламентирующая документация, ранжирующая информацию по уровню конфиденциальности и четко прописывающая права доступа к ней. Доступ к любым ресурсам должен быть персонифицированным.
2. Права доступа к ресурсам должны выделяться по принципу “минимальной достаточности”. Доступ к обслуживанию технических средств, даже с правами администратора, не всегда должен сопровождаться доступом к просмотру самой информации.
3. Насколько возможно глубокий мониторинг действий пользователя, с обязательной авторизацией и записью сведений о произведенных операциях в журнале. Чем тщательнее ведутся журналы (логи), тем в большей мере руководство владеет ситуацией в компании. То же относится и к действиям сотрудника при использовании служебного доступа к Интернету.

Стандарт общения

1. Внутри организации должен быть принят свой стандарт общения, который исключал бы все формы некорректного поведения сотрудников по отношению друг к другу (агрессия, насилие, излишняя фамильярность). В первую очередь это относится к отношениям “руководитель – подчиненный”.

У сотрудника ни при каких условиях не должно появиться ощущение, что с ним поступают несправедливо, его недостаточно ценят, излишне эксплуатируют, обманывают.

Соблюдение этого простого правила позволит избежать абсолютного большинства ситуаций, провоцирующих сотрудников на инсайд.

Конфиденциальность

Соглашение о неразглашении конфиденциальной информации не должно быть простой формальностью. Оно должно быть подписано всеми сотрудниками, имеющими доступ к важным информационным ресурсам компании.

Кроме того, еще на этапе собеседования потенциальным работникам необходимо разъяснить, каким образом в компании ведется контроль за информационной безопасностью.

Контроль средств

Представляет собой контроль технических средств, используемых сотрудником для рабочих целей.

Например, использование личного ноутбука нежелательно, поскольку при увольнении сотрудника скорее всего не удастся узнать, какая информация на нем хранится.

По той же причине нежелательно использование ящиков электронной почты на внешних ресурсах.

При общении в социальных сетях сотрудники также должны придерживаться рекомендаций, разработанных специальным отделом.

Внутренний распорядок

На предприятии должны соблюдаться правила внутреннего распорядка.

Необходимо располагать информацией о времени пребывания сотрудников на рабочем месте.

Также должен быть обеспечен контроль перемещения материальных ценностей.

Соблюдение всех перечисленных правил позволит снизить риск порчи или утечки информации через инсайд, а значит, поможет предотвратить существенные финансовые или репутационные потери.

Борьба с инсайдерством в России и за рубежом

Создание в Москве Международного финансового центра связано с введением дополнительного регулирования российского рынка ценных бумаг и товаров, обращающихся на биржах, и гарантий инвесторов. Попробуем разобраться, насколько эти задачи решает вступивший в силу 27 января 2011 года так называемый Закон об инсайде.

Разберемся в понятиях

В деловом обороте под понятием “инсайдер” (от англ. inside – внутри) понимается любое лицо, имеющее доступ к конфиденциальной информации о делах фирмы благодаря своему служебному положению и родственным связям. Следовательно, инсайдерская информация – информация внутренняя.

В России понятие “инсайдерская информация” было определено только в середине 2010 года. В Законе от 27.07.2010 N 224-ФЗ “О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации” говорится, что под “инсайдерской информацией понимается точная и конкретная информация, которая не была распространена или предоставлена (в том числе сведения, составляющие коммерческую, служебную, банковскую тайну, тайну связи (в части информации о почтовых переводах денежных средств) и иную охраняемую законом тайну), распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов, иностранной валюты и (или) товаров (в том числе сведения, касающиеся одного или нескольких эмитентов эмиссионных ценных бумаг (далее – эмитент), одной или нескольких управляющих компаний инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов”. Кроме того, в данном Законе определен перечень лиц, которые осуществляют раскрытие инсайдерской информации.

Если информация имеет коммерческую ценность, она именуется коммерческой тайной. При этом определение “коммерческий” не относится к содержанию этой информации. Информация любого рода может считаться коммерческой, если из нее можно извлечь выгоду. Инсайдерская информация отличается и от служебной тайны, и от коммерческой, и от банковской прежде всего тем, что всякая тайна не может быть достоянием неограниченного круга лиц. А инсайдерская – “подлежит обязательному раскрытию”, но через некоторое, довольно короткое время.

В качестве распространителей инсайдерской информации выступают:

• эмитенты и управляющие компании;
• хозяйствующие субъекты, включенные в реестр и занимающие доминирующее положение на рынке определенного товара;
• организаторы торговли, клиринговые организации, а также депозитарии и кредитные организации, осуществляющие расчеты по результатам сделок, совершенных через организаторов торговли;
• профессиональные участники рынка ценных бумаг и иные лица, осуществляющие в интересах клиентов операции с финансовыми инструментами;
• лица, которые владеют не менее чем 25% голосов в высшем органе управления;
• члены совета директоров;
• федеральные органы исполнительной власти, исполнительные органы государственной власти, Банк России;
• имеющие доступ к инсайдерской информации руководители федеральных органов исполнительной власти;
• информационные агентства, осуществляющие раскрытие или предоставление информации;
• лица, осуществляющие присвоение рейтингов;
• физические лица, имеющие доступ к инсайдерской информации на основании трудовых и гражданско-правовых договоров.

В других законах, например в Законе от 22.04.1996 N 39-ФЗ “О рынке ценных бумаг”, термины “инсайдерская информация” и “манипулирование рынком” понимаются в значении Закона N 224-ФЗ.

Необходимо отметить, что не вся информация, составляющая служебную или коммерческую тайну, относится к инсайдерской. Факт наличия инсайдерской информации еще не является нарушением и посягательством на отношения участников рынка ценных бумаг. Реализовать потенциальную опасность, скрытую в инсайдерской информации, возможно при условии ее использования инсайдером.

Методы борьбы

В деле борьбы с утечкой инсайдерской информации следует руководствоваться принципом “спасение утопающих – дело рук самих утопающих”. Прежде всего это дело службы внутренней безопасности. Вместе с тем ряд рекомендаций дан Федеральной службой по финансовым рынкам (информационное письмо от 27.01.2011 б/н) – в частности, к мерам защиты относятся:

• разработка и утверждение порядка доступа к инсайдерской информации, правил охраны ее конфиденциальности;
• создание (определение, назначение) структурного подразделения (должностного лица), в обязанности которого входит осуществление контроля;
• обеспечение условий для беспрепятственного и эффективного осуществления созданным (определенным, назначенным) структурным подразделением (должностным лицом) своих функций.

Кроме того, необходимо:

• вести список инсайдеров;
• уведомлять лиц, включенных в список инсайдеров, об их включении в такой список;
• передавать список инсайдеров организаторам торговли, через которых совершаются операции с финансовыми инструментами.

Также необходимо четко определить перечень информации, которая является инсайдерской. Залогом отсутствия фактов ее разглашения является определение порядка доступа к информации, кроме того, лица, имеющие доступ, должны быть ознакомлены с локальными актами, регулирующими доступ к информации, под роспись. Компания также должна обеспечить необходимые организационные и технические условия для соблюдения лицами, имеющими доступ к инсайдерской информации, установленного режима конфиденциальности. Например, необходимо вести журнал учета при работе с конфиденциальной информацией; иметь помещение, предназначенное для работы с конфиденциальной информацией; создать системы обеспечения информационной безопасности (программы защиты информации, коды доступы и пр.). Кроме того, должно быть наличие носителей конфиденциальной информации. Если, например, любой сотрудник компании может использовать флеш-накопитель и имеет доступ к конфиденциальной информации на сетевом ресурсе, то говорить о наказании инсайдера не приходится.

Меры ответственности

За неправомерное использование инсайдерской информации предусмотрена уголовная и административная ответственность.

Обратите внимание, что Законом N 224-ФЗ предусмотрено вступление в силу по истечении 3 лет после дня официального опубликования ст. 185.6 “Неправомерное использование инсайдерской информации” (см. таблицу).

Роль Закона…

В целом можно назвать позитивным принятие в 2010 году Закона N 224-ФЗ, регулирующего вопрос распространения инсайдерской информации. Также важно то, что определен перечень лиц, ответственных за распространение инсайда. В этот перечень, в частности, включены федеральные органы исполнительной власти, исполнительные органы государственной власти, Банк России, что позволяет говорить, что нормы Закона распространяются не только на внутрифирменное регулирование, но и на внешних инсайдеров, в том числе государственных чиновников. В число инсайдеров включены эмитенты и управляющие компании; хозяйствующие субъекты, занимающие доминирующее положение на рынке определенного товара в границах РФ; организаторы торговли; клиринговые организации, а также депозитарии и кредитные организации, осуществляющие расчеты по результатам сделок, совершенных через организаторов торговли. То есть законодатель определил довольно широкий круг лиц, ответственных за распространение инсайдерской информации.

Еще одним позитивным моментом является усиление ответственности за распространение инсайдерской информации.

…и его недостатки

Закон N 224-ФЗ не распространяется на работников, которые уволились из компании и разгласили информацию. А именно такой случай является очень распространенным: работника переманивает другая компания, он увольняется и распространяет информацию. Когда уволившийся сотрудник забирает с собой клиентскую базу, какие-то контакты – это тоже инсайд. Ни для кого не секрет, что сотрудник, которого в кризис потенциально увольняли или могли уволить (это классика), уходя с работы, может унести максимум информации. Компании же в этом случае нужно доказать, что данное физическое лицо имело доступ к инсайдерской информации. Вместе с тем в законодательстве, информационных письмах не определен перечень доказательств, которые могут служить подтверждением как доступа, так и разглашения информации, и судебная практика по данному вопросу не сформирована.

Более 98% информации попадает во внешнюю среду по халатности или незнанию. Например, бухгалтер с чистой совестью и добрыми намерениями просит своих коллег поработать в выходные дома (допустим, не успевают с отчетностью). А дома у кого-то из них оказывается, что компьютер не защищен, антивирус не обновлен. И эти файлы уходят злоумышленникам – людям, которые до сего момента про эту компанию и не знали. Но фактически Закон N 224-ФЗ не защищает от подобных случаев инсайда.

Кроме того, следует отметить, что органы прокуратуры выведены из-под действия Закона об инсайдерской информации. Хотя, например, указанные органы, проводя проверку в компании, могут разгласить ее третьим лицам.

Закон N 224-ФЗ имеет ограниченное действие и не охватывает все случаи распространения инсайдерской информации, например, в области финансовых рынков, на товарных биржах, в связи с обращением ценных бумаг. Таким образом, Закон не затрагивает основные случаи использования такой информации: продажа баз данных конкурентам, разглашение сведений о финансовом состоянии и финансовой стабильности компании.

Также необходимо отметить, что Закон N 224-ФЗ принят с опозданием, а потребность в его принятии возникла уже давно. В результате до сих пор не сформирована судебная практика в части ведения дел подобного рода. Так, задача по созданию правовых механизмов, направленных на предотвращение инсайдерской торговли, обозначенная в Стратегии развития финансового рынка РФ на 2006 – 2008 годы, не была реализована в обозначенные сроки, в связи с чем она отражена в Стратегии уже 2020 года.

Служебная информация и коммерческая информация являются институтами, похожими на инсайдерскую, и их регулирование более полно прописано в российском законодательстве, но все еще нет сложившейся судебной практики, однозначно подтверждающей, что эти нормы могут применяться к инсайдерской информации. Таким образом, должно пройти значительное время для того, чтобы в законодательстве сформировался четкий порядок правового регулирования и борьбы с инсайдерством, в том числе арбитражная практика.

Громкие дела

Мошенничество с помощью инсайдерской информации процветает в различных странах, и одной из стран, где данный вид мошенничества наиболее распространен, являются США. Это объясняется тем, что в Америке очень развит финансовый рынок. Американское законодательство четко сформулированного понятия “инсайдер” не содержит. Разрешая дела о неправомерном использовании внутренней информации, американские суды основываются на нормах, устанавливающих общий запрет на злоупотребление информацией при совершении сделок с ценными бумагами (правило 10b Закона о сделках с ценными бумагами и конкретизирующие его статьи). Американская практика распространяет статус потенциального инсайдера на лиц, владеющих 10% акций компании, обязывая их раскрывать сведения о собственном статусе, а также ставшую известной им информацию.

В 2010 году широкий резонанс приобрело дело о разглашении информации компании IBM. Американский суд приговорил бывшего топ-менеджера компании IBM Роберта Моффата к 6 месяцам тюрьмы за инсайдерскую торговлю. Кроме того, Моффат обязан заплатить 50000 долларов в качестве штрафа.

Громкие дела по вопросу распространения инсайдерской информации появлялись и раньше. В 2006 году Комиссия по ценным бумагам раскрыла преступную сеть, которая занималась сбором инсайдерской информации и использовала ее для получения прибыли от торговли акциями. Суд над инсайдерами начался в 2006 году. Первым свою вину признал С. Шпигельман, который был приговорен к 37 месяцам тюремного заключения. Дело касалось деятельности такой известной компании, как Apple. В конце декабря 2007 года компания Apple добилась закрытия ThinkSecret.com – ресурса, на котором публиковалась инсайдерская информация об американском производителе. Решающим фактом стала информация о готовящемся выходе программного и аппаратного обеспечения, появившаяся на ThinkSecret в 2005 году, за 2 недели до официальной презентации.

По данным американского центра исследований относительно преступлений, связанных с хищениями персональных данных (Identity Theft Resource Center, ITRC), только в 2008 году на территории США произошло как минимум 656 случаев публичной утечки информации. И число случаев растет с каждым днем.

Вместе с тем данный порок не обошел и наших ближайших соседей, и нашу страну. Так, украинский хакер Александр Дорожко в 2007 году проник на закрытую часть сервера американской фармацевтической компании IMS Health, где ему удалось получить финансовый отчет компании за несколько часов до его официальной публикации. В России в качестве первого примера использования в 1994 году инсайдерской информации чиновниками государственного учреждения можно считать историю с чековым инвестиционным фондом “Нефть-Алмаз-Инвест”, у которого было около миллиона акционеров по всей стране. Чтобы убрать крупный чековый инвестиционный фонд “Нефть-Алмаз-Инвест” из числа претендентов при проведении аукциона по продаже акций НК “ЛУКОЙЛ”, Госкомимущество России, имея инсайдерскую информацию о наличии 800 тыс. приватизационных чеков в фонде “Нефть-Алмаз-Инвест” (фонд об этом сообщил) и возможном его участии в этом аукционе, организует в период подготовки к аукциону финансовую проверку компании.

Однако правовое регулирование данного вопроса до недавнего времени в нашей стране практически отсутствовало, не была сформирована и судебная практика. Поэтому разглашение информации не регулировалось ни на уровне государства, ни на уровне компаний. Но теперь ситуация изменилась.

Итак, принятый в 2010 году Закон о противодействии инсайдерству явился положительным шагом российского законодательства. Однако на практике вопрос защиты информации от инсайдеров остается задачей, которая должна выполняться самой компанией. Несмотря на наличие в законодательстве норм об административной и уголовной ответственности, хозяйствующие субъекты сами должны разработать комплекс мер по борьбе с инсайдерами. В который уже раз принцип “спасение утопающих – дело рук самих утопающих” оправдал себя.

ZLONOV.ru

Актуальность проблем инсайда сегодня вряд ли у кого-то вызывает сомнения. Громкие истории, связанные с утечками конфиденциальной информации, у всех на слуху. Причем широкий общественный резонанс вызывают как разглашение информации, не предназначенной для посторонних, умышленными действиями сотрудников, так и утечки, возникающие в результате ошибочных и незлонамеренных действий.

Борьба с инсайдом

Деление – на умышленных инсайдеров и непреднамеренных – является уже устоявшимся. Принято считать (во всяком случае, многие аналитические отчеты говорят именно об этом), что случайные утечки происходят гораздо чаще. Под непреднамеренным инсайдером не совсем корректно понимать только того, кто отправил вовне непосредственно саму конфиденциальную информацию. Данное понятие логично распространить на любого сотрудника, чье какое-либо действие или бездействие прямо повлекло за собой утечку. Скажем, разглашение тем или иным способом пароля постороннему лицу либо установка на рабочий компьютер троянской программы утечкой, в общем-то, не является, но к таковой вполне понятным образом ведет. С другой стороны, и слишком обобщать это понятие тоже было бы неправильно, иначе к непреднамеренным инсайдерам можно причислить и администратора, не установившего свежее обновление или неправильно настроившего систему предотвращения вторжений, в результате чего злоумышленник получил возможность доступа к конфиденциальной информации.

Завершая обсуждение терминов, стоит оговорить, что хотя формально понятие «утечка» не обязательно означает попадание информации к злоумышленнику и, следовательно, возникновение ущерба, на практике под «утечкой» понимают именно результативную утечку. В этом смысле письмо с внутренним годовым отчетом, ошибочно отправленное сотрудником по электронной почте своему дальнему родственнику, по формальным признакам является утечкой, так как конфиденциальная информация покидает разрешенный периметр, но на самом деле угрозы не несет и в рамках данной статьи приниматься в расчет не будет.

Прошлогодняя история с Эдвардом Сноуденом, бывшим сотрудником ЦРУ и Агентства национальной безопасности США, передавшего газетам похищенную им секретную информацию, показала, что бороться с умышленными инсайдерами крайне проблематично даже при наличии достаточного финансирования, квалифицированных кадров и строгих внутренних регламентов, имеющихся в распоряжении американских спецслужб. Можно, конечно, задаться вопросом: стоит ли вообще пытаться защитить конфиденциальную информацию в какой-либо крупной или тем более не очень коммерческой компании, раз уж секретную государственную информацию не удалось эффективно защитить? Ответ очевиден: защищать информацию нужно не для того, чтобы получить 100%-ную гарантию ее сохранности (это недостижимо), а для того, чтобы повысить сложность ее кражи злоумышленником и тем самым снизить риски возникновения ущерба.

Новые угрозы и риски

Как сообщает пресса, в августе этого года Сноуден получил вид на жительство в России сроком на три года, он трудоустроен и получает помощь от частных лиц, а через пять лет сможет претендовать на получение гражданства РФ. Вряд ли кто- либо согласится с тем, что именно это и было целью и мечтой, которые побудили Эдварда пойти на то, на что он в итоге пошел. Скорее можно предположить, что им двигало желание получить всемирную известность, но сам он озвучивает более благородные цели.

В сопроводительной записке к передаваемым им документам Сноуден написал: «Я понимаю, что мне придется страдать за свои поступки», но «я буду удовлетворен, если секретные законы, неравная безнаказанность и непреодолимая исполнительная власть, правящая тем миром, который я люблю, будут раскрыты хотя бы на мгновение»; «Я действительно хочу, чтобы в центре внимания оказались эти документы, и надеюсь, что это вызовет обсуждение среди граждан всего мира о том, в каком мире мы хотим жить».

Даже если сами слова и можно подвергнуть сомнению, то трудно отрицать, что поступок Эдварда способен, если так можно сказать, вдохновить его последователей. Тема борьбы с несправедливостью, беззаконием и ложью вполне может найти отклик и в сердцах сотрудников, добавляя к уже всем привычным факторам мотивации – деньгам и славе – теперь еще и новый тип нарушителей – благородных борцов за правду. Основная сложность в выявлении подобных нарушителей как раз и кроется в отсутствии у них личной корысти, потому и выявить их по косвенным признакам не так просто.

Трудно сказать, насколько распространено сегодня желание правды и справедливости, достаточно сильное для совершения противоправных действий, но в современном цифровом мире границы если и не полностью стерты, то значительно расширены, скорость распространения информации колоссальна, поэтому своих последователей может найти, пожалуй, практически любая идея, в том числе и такая.

Имеющее место размытие границ в информационном пространстве способно существенно усилить потенциальный ущерб и от самих утечек: скандальные новости распространяются мгновенно, нанося серьезный ущерб репутации, а информация, выложенная для общего доступа, с высокой вероятностью найдет того, кто сможет «правильно» ею воспользоваться, опять же причиняя максимально возможный вред.

Среди технологий, меняющих привычные способы взаимодействия людей друг с другом в ходе обмена информацией, нельзя не отметить две особенно сильно повлиявшие на принципы обращения сотрудников с конфиденциальной информацией. Речь о мобильных устройствах и облачных технологиях.

Мобильные устройства и облачные технологии

Для эффективной защиты конфиденциальной информации от утечек необходимо, с одной стороны, понимать, где она находится, и контролировать все места ее хранения, а с другой – отслеживать реальные и потенциальные пути ее распространения.

Совмещение облачных и мобильных технологий в конечном итоге приводит к тому, что конфиденциальная информация может оказаться в облачном хранилище, строго говоря, слабо контролируемом ИТ-департаментом организации, при этом доступ к ней сотрудники могут осуществлять с помощью мобильных устройств, которые также достаточно сложно контролировать стандартными средствами.

Компании, которые предоставляют неограниченный и неконтролируемый доступ с мобильных устройств к корпоративным данным, сильно рискуют, ибо предотвратить утечку информации техническими методами при таком подходе практически невозможно. Организационные методы способны помочь вне зависимости от конкретных каналов распространения информации и методов работы с ними, поскольку ориентированы прежде всего на самих сотрудников.

Перспективные организационные и технические средства борьбы

Организационные методы борьбы с инсайдерами – самые эффективные, но и самые дорогостоящие, так как в любом случае требуют ручного анализа с привлечением квалифицированного персонала.

Как и в случае с гигиеной, мониторинг общего морального климата в коллективе и выявление аномалий в поведении того или иного сотрудника путем тесного взаимодействия с доверенными сотрудниками, играющими, если использовать аналогии, роль агентов, на порядок эффективней любого технического решения, пытающегося предотвратить уже совершаемую утечку. Вместе с тем, такой способ борьбы по понятным причинам и самый дорогостоящий, поэтому на практике к нему прибегают лишь довольно крупные организации, располагающие достаточными ресурсами.

Говоря о предотвращении непредумышленных утечек организационными методами, нужно упомянуть такой немаловажный аспект, как повышение осведомленности персонала по вопросам информационной безопасности. Среди наиболее часто применяемых в комплексном подходе мер можно отметить инструктаж и ознакомление новых сотрудников с основными положениями и регламентами, регулярное обучение и тренинги как внутри компании, так и с привлечением внешних специалистов (курсы по повышению осведомленности можно найти в программах многих ведущих учебных центров). Наконец, помимо первичного знакомства с базовыми принципами и регулярных тренингов необходимо организовать постоянное информирование персонала путем электронных рассылок, публикаций на внутреннем портале, наглядной агитации и другими доступными средствами.

Возвращаясь к чисто техническим методам, нужно отметить, что «волшебную таблетку», решающую все проблемы с утечками сразу, пока не удалось создать ни одному разработчику, несмотря на заявления в рекламных буклетах и на презентациях.

При техническом подходе важны комплексность и четкое целеполагание – любая система защиты будет эффективной только лишь при работе в тесной связке с остальными компонентами общей системы обеспечения безопасности, а при ее внедрении нужно заранее определить и принять ее реальные возможности и слабые места, не возлагая излишних неоправданных надежд.

Взвешенный и сбалансированный подход к выбору средств защиты от утечек информации предполагает классификацию информации в целях выделения действительно важной, нуждающейся в наибольшей защите, сужение круга лиц, допущенных к работе с ней, и ограничение количества потенциальных каналов ее распространения. Контроль явно выделенной из общего массива конфиденциальной информации при ее отправке конкретными сотрудниками по небольшому числу разрешенных каналов является гораздо более простой с технической точки зрения задачей, чем тотальная слежка за всем и всеми.

К сожалению, в реальных условиях такой подход имеет целый ряд ограничений, возникающих, в частности, из-за того, что в компании любого размера регулярно возникают все новые и новые данные, происходит ротация сотрудников, появляются новые бизнес-процессы и задействуются дополнительные каналы передачи и места хранения конфиденциальной информации в соответствии с требованиями бизнеса, например, как ответ на агрессивную конкурентную среду.

В таких условиях одним из возможных подходов является внедрение IRM-систем (Information Rights Management – управление правами доступа), позволяющих присваивать конкретным файлам права доступа на основе политик, определяющих, кто, когда, где и что имеет право делать с ними. Скажем, можно запретить чтение конкретного документа с мобильных устройств при подключении не к корпоративной сети Wi-Fi или запретить его редактирование в нерабочее время.

Жесткое ограничение разрешенных действий (копирование, чтение, снимок экрана и т. д.) достигается при помощи агентов, устанавливаемых на рабочие места, и их работы только после получения соответствующего разрешения от сервера политик (Policy Server). Использование IRM-систем позволяет защитить файл на всем пути его следования от одного пользователя до другого, причем при необходимости взаимодействия, например, с внешними клиентами либо партнерами, система фактически подменяет сам файл на ссылку, отправляемую по электронной поч- те или другим разрешенным каналом, что предотвращает утечку конфиденциальной информации в процессе ее передачи.

Большой сложностью при внедрении IRM-систем является организация процесса присвоения правильных политик доступа. В идеальной ситуации этим должен заниматься сам пользователь, являющийся автором документа: именно он (на основании предположения о его добронамеренности) лучше всех понимает, для кого предназначен вновь создаваемый документ и кто в соответствии с доведенными до него положениями и регламентами компании имеет право с ним работать.

Понятно, что в условиях реальной работы вряд ли можно ожидать неукоснительного выполнения всех требований по правильному определению и установке соответствующих разрешений. Именно по этой причине хороший практический синергетический эффект дает внедрение одновременно систем управления правами доступа и систем классификации информации, которые позволяют выявлять места хранения файлов в компании, анализировать их содержимое на предмет наличия конфиденциальной информации, правильно ее классифицировать и сообщать IRM-системе требуемые политики, за применением и соблюдением которых в дальнейшем система управления правами доступа и следит.

При работе с мобильных устройств установка дополнительных агентов затруднительна – как вследствие малой производительности самих устройств, так и в силу их архитектурных особенностей или требований производителя устройства, ограничивающего работу приложений сторонних разработчиков условной «песочницей», когда одно приложение оказывается изолированным от другого. При таком подходе никакой агент системы контроля не сможет отследить ни буфер обмена, ни текст, набираемый в соседнем приложении и отправляемый сотрудником вовне.

В подобных случаях разумно сочетание ограничения доступа с мобильных устройств путем выявления действительно требуемых ресурсов из общего пула корпоративных серверов и приложений, перенаправления всего трафика через серверы компании, где осуществляются глубокий его анализ и разбор (возможно использование и серверов облачных провайдеров, оказывающих услуги по очистке и контролю трафика), применения систем управления мобильными устройствами, позволяющих управлять использованием мобильных устройств сотрудниками в части установки требований к политикам безопасности и устанавливаемым приложениям, а также создавать отдельную замкнутую среду (часто в виде отдельного приложения) для работы со всеми корпоративными ресурсами организации.

В заключение отметим важность использования, вне зависимости от конкретных применяемых систем, приложений и сервисов, надежных решений по аутентификации пользователей. Никакая система управления правами доступа или система контроля утечек конфиденциальной информации не сможет работать эффективно, если на этапе проверки пользователя будет допущена ошибка и за легитимного сотрудника будет признан злоумышленник. Усиление классической парольной аутентификации за счет использования дополнительных факторов аутентификации (SMS, мобильное приложение, одноразовый код и т. п.) существенно снижает риски, возникающие при взломе/ подборе/краже паролей пользователей. Кроме того, современные единые платформы аутентификации позволяют эффективно решать проблему проверки подлинности пользователей при доступе с любых мобильных устройств и при их обращении как к внутренним, так и к внешним, например облачным, сервисам.

_{Журнал «Connect. Мир информационных технологий», №11, 2014, Алексей Комаров, ноябрь 2014.}

Противодействие неправомерному использованию инсайдерской информации и манипулированию рынком

Основы законодательства в данной сфере заложены Федеральным законом от 27.07.2010 № «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» (Федеральный закон).

В соответствии со статьей 2 Федерального закона инсайдерская информация — это точная и конкретная информация, которая не была распространена или предоставлена (в том числе сведения, составляющие коммерческую, служебную, банковскую тайну, тайну связи (в части информации о почтовых переводах денежных средств) и иную охраняемую законом тайну), распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов, иностранной валюты и (или) товаров (в том числе сведения, касающиеся одного или нескольких эмитентов эмиссионных ценных бумаг, одной или нескольких управляющих компаний инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (далее — управляющая компания), одного или нескольких хозяйствующих субъектов, указанных в пункте 2 статьи 4 Федерального закона, либо одного или нескольких финансовых инструментов, иностранной валюты и (или) товаров) и которая относится к информации, включенной в соответствующий перечень инсайдерской информации, указанный в статье 3 Федерального закона.

Согласно статье 6 Федерального закона запрещается использование инсайдерской информации:

1) для осуществления операций с финансовыми инструментами, иностранной валютой и (или) товарами, которых касается инсайдерская информация, за свой счет или за счет третьего лица, за исключением совершения операций в рамках исполнения обязательства по покупке или продаже финансовых инструментов, иностранной валюты и (или) товаров, срок исполнения которого наступил, если такое обязательство возникло в результате операции, совершенной до того, как лицу стала известна инсайдерская информация;

2) путем передачи ее другому лицу, за исключением случаев передачи этой информации лицу, включенному в список инсайдеров, в связи с исполнением обязанностей, установленных федеральными законами, либо в связи с исполнением трудовых обязанностей или исполнением договора;

3) путем дачи рекомендаций третьим лицам, обязывания или побуждения их иным образом к приобретению или продаже финансовых инструментов, иностранной валюты и (или) товаров.

Статьей 6 Федерального закона также установлен запрет на осуществление действий, относящихся к манипулированию рынком, а именно:

1) умышленное распространение через средства массовой информации, в том числе через электронные, информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц (включая сеть «Интернет»), любым иным способом заведомо ложных сведений, в результате которого цена, спрос, предложение или объем торгов финансовым инструментом, иностранной валютой и (или) товаром отклонились от уровня или поддерживались на уровне, существенно отличающемся от того уровня, который сформировался бы без распространения таких сведений;

2) совершение операций с финансовым инструментом, иностранной валютой и (или) товаром по предварительному соглашению между участниками торгов и (или) их работниками и (или) лицами, за счет или в интересах которых совершаются указанные операции, в результате которых цена, спрос, предложение или объем торгов финансовым инструментом, иностранной валютой и (или) товаром отклонились от уровня или поддерживались на уровне, существенно отличающемся от того уровня, который сформировался бы без таких операций. Настоящий пункт применяется к организованным торгам, операции на которых совершаются на основании заявок, адресованных всем участникам торгов, в случае, если информация о лицах, подавших заявки, а также о лицах, в интересах которых были поданы заявки, не раскрывается другим участникам торгов;

3) совершение сделок, обязательства сторон по которым исполняются за счет или в интересах одного лица, в результате которых цена, спрос, предложение или объем торгов финансовым инструментом, иностранной валютой и (или) товаром отклонились от уровня или поддерживались на уровне, существенно отличающемся от того уровня, который сформировался бы без таких сделок. Настоящий пункт применяется к организованным торгам, сделки на которых заключаются на основании заявок, адресованных всем участникам торгов, в случае, если информация о лицах, подавших заявки, а также о лицах, в интересах которых были поданы заявки, не раскрывается другим участникам торгов;

4) выставление за счет или в интересах одного лица заявок, в результате которого на организованных торгах одновременно появляются две и более заявки противоположной направленности, в которых цена покупки финансового инструмента, иностранной валюты и (или) товара выше цены либо равна цене продажи такого же финансового инструмента, иностранной валюты и (или) товара, в случае, если на основании указанных заявок совершены операции, в результате которых цена, спрос, предложение или объем торгов финансовым инструментом, иностранной валютой и (или) товаром отклонились от уровня или поддерживались на уровне, существенно отличающемся от того уровня, который сформировался бы без таких операций. Настоящий пункт применяется к организованным торгам, операции на которых совершаются на основании заявок, адресованных всем участникам торгов, в случае, если информация о лицах, подавших такие заявки, а также о лицах, в интересах которых были поданы такие заявки, не раскрывается другим участникам торгов;

5) неоднократное в течение торгового дня совершение на организованных торгах сделок за счет или в интересах одного лица на основании заявок, имеющих на момент их выставления наибольшую цену покупки либо наименьшую цену продажи финансового инструмента, иностранной валюты и (или) товара, в результате которых их цена существенно отклонилась от уровня, который сформировался бы без таких сделок, в целях последующего совершения за счет или в интересах того же или иного лица противоположных сделок по таким ценам и последующее совершение таких противоположных сделок;

6) неоднократное в течение торгового дня совершение на организованных торгах за счет или в интересах одного лица сделок в целях введения в заблуждение относительно цены финансового инструмента, иностранной валюты и (или) товара, в результате которых цена финансового инструмента, иностранной валюты и (или) товара поддерживалась на уровне, существенно отличающемся от уровня, который сформировался бы без таких сделок;

7) неоднократное неисполнение обязательств по операциям, совершенным на организованных торгах без намерения их исполнения, с одними и теми же финансовым инструментом, иностранной валютой и (или) товаром, в результате чего цена, спрос, предложение или объем торгов финансовым инструментом, иностранной валютой и (или) товаром отклонились от уровня или поддерживались на уровне, существенно отличающемся от того уровня, который сформировался бы без таких операций. Указанные действия не признаются манипулированием рынком, если обязательства по указанным операциям были прекращены по основаниям, предусмотренным правилами организатора торговли и (или) клиринговой организации.

В соответствии с пунктом 18.3 статьи 4 Федерального закона от 10.07.2002 № «О Центральном банке Российской Федерации (Банке России)» Банк России осуществляет контроль за соблюдением требований законодательства Российской Федерации о противодействии неправомерному использованию инсайдерской информации и манипулированию рынком.