ЦОК ОК Нейронка 05.12 Мобильная
🔴 Вебинар: НДС – 2026 для селлеров маркетплейса на ОСНО и УСН →
Управление персоналом
Как обезопасить бизнес от действий сотрудников

Как обезопасить бизнес от действий сотрудников

Бизнесом управляете не только вы, но и люди, которым доверяете. Иногда это доверие оборачивается проблемами: можно потерять базу клиентов из-за менеджера, который решил начать свой бизнес, или обнаружить недостачу, когда бухгалтер ушел в отпуск и не вернулся. Рассказываем, как защитить бизнес от рисков, связанных с сотрудниками — от первого собеседования до последнего дня работы.

Автор

  • Ольга Попова

    Главный юрист направления инфобезопасности Контур.Эгида

В чем суть проблемы

Сотрудники несут не только пользу, но и создают риски. Три типичные ситуации из практики: 

  1. Менеджер по продажам копировал базу клиентов в течение года, а потом открыл конкурирующий бизнес и переманил 50% клиентов.

  2. Системный администратор установил скрытый доступ к серверу, а после увольнения удалил важные данные.

  3. Дизайнер продал наработки агентства конкурентам, причинив ущерб в несколько миллионов рублей.

Наиболее уязвимы три типа компаний:

  • Стартапы, где процессы еще не выстроены, а все решения принимаются на доверии.

  • Быстрорастущие компании, которые нанимают много сотрудников без должной проверки.

  • Семейный бизнес, где родственные связи часто подменяют формальные процедуры безопасности.

Почему нельзя откладывать решение проблемы? Потому что когда сотрудник уже украл базу или деньги, исправлять ситуацию сложнее и дороже. Судебные тяжбы занимают годы, а шансы вернуть украденное стремятся к нулю. Защита обходится дешевле, чем устранение последствий.

Что предусмотреть на этапе найма

Большинство предпринимателей, особенно начинающих, пренебрегают тщательной проверкой кандидатов — и зря. Грамотная проверка на входе экономит миллионы рублей.

Какие документы проверить и как это делать правильно

Какие документы проверить:

  • Паспорт. Проверьте на действительность: вручную на сайте Госуслуг, если поток сотрудников небольшой. Или подключите СМЭВ, если организация является участником такой системы. 

Проверьте не только действительность, но и прописку, сравните фото с человеком. Были случаи, когда мошенники использовали чужие паспорта реальных граждан.

  • Документ об образовании. Это можно сделать через официальные реестры Рособрнадзора. Это нужно, чтобы не оказаться в ситуации, когда  «юрист», который купил диплом за 40 тысяч, чуть не завалил судебный процесс на миллионы из-за незнания. 

  • Трудовую книжку. Свяжитесь с предыдущими работодателями. Спрашивайте не только факт работы, но и причину ухода. Например, спросите: «Мы рассматриваем Петрова на должность финансового директора, хотели бы узнать ваше мнение». Часто бывшие работодатели намекнут о проблеме с работником, если она была.

  • Справку об отсутствии судимости — обязательно для позиций с финансовыми обязанностями, образованием, несением службы и др.

Что проверять незаконно:

  • Медицинские справки — кроме позиций, где это требуется законом (общепит, образование, транспорт).

  • Кредитную историю — это нельзя делать без согласия кандидата.

Что спросить на собеседовании

На собеседовании задайте вопросы, которые выявляют ценности кандидата, например:

  • «Расскажите о ситуации, когда вы поступились правилами ради результата»

  • «Что для вас неприемлемо в работе, даже если это принесет выгоду?»

  • «Как вы поступали с конфиденциальной информацией на прошлом месте работы?»

Следите за невербальными сигналами — уходом от ответа, смене темпа речи, противоречиями в рассказе о прошлом опыте.

Документы для защиты бизнеса: что реально работает

В России работает:

  1. Соглашение о конфиденциальности (NDA) — с конкретным описанием информации и ответственностью. Пример работающей формулировки: «К конфиденциальной информации относятся: база клиентов компании (включая контактные данные, историю заказов, специальные условия), технология производства X, алгоритм расчета Y, содержание внутренних регламентов Z». 

Ответственность за разглашение должна быть основана: «В случае разглашения информации о технологии производства сотрудник возмещает компании ущерб в размере документально подтвержденных затрат на разработку данной технологии, но не менее 300 000 рублей». При этом бремя доказывания суммы ущерба лежит на работодателе и может быть взыскано с работника только в судебном порядке.

  1. Положение о коммерческой тайне должно содержать:

  • четкий перечень информации, составляющих коммерческую тайну;

  • порядок обращения с ней;

  • ответственность за нарушение установленного режима коммерческой тайны к такой информации;

  • подпись сотрудника об ознакомлении с положением, говорящее о его согласии о выполнении условий положения.

  1. Дополнительное соглашение о материальной ответственности работает, если:

  • Должность сотрудника входит в утвержденный законом перечень.

  • Указан конкретный перечень ценностей, за которые отвечает сотрудник.

  • Проводится регулярная инвентаризация с документальным оформлением.

Но, независимо от этого материальная ответственность в полном размере причиненного ущерба может быть взыскана с любого работника, разгласившего сведения, составляющие коммерческую тайну (п. 7 ст. 243 ТК).

Что не работает и может обернуться против вас:

  1. Расплывчатые формулировки в NDA вроде «вся информация, полученная в ходе работы» — суды их не поддерживают.

Пример: компания требовала 1 млн рублей с бывшего менеджера за «разглашение конфиденциальной информации», но в NDA не было точного перечня, что именно считается конфиденциальной информацией.

  1. Запрет на работу у конкурентов после увольнения — противоречит Конституции РФ (право на труд). Даже если сотрудник подпишет такой документ, он не будет иметь юридической силы, кроме случаев, указанных в судебных прецедентах, например, запрет участнику Общества или бывшему генеральному директору на переманивание работников в свою новую фирму или работу на конкурентов.

  2. Штрафы, превышающие ущерб — суды снижают их до фактически причиненного ущерба.

Пример: штраф в 500 000 рублей за слив базы клиентов будет снижен, если компания не докажет, что понесла ущерб именно на эту сумму.

Документы защищают вас только при комплексном подходе. Проводите регулярные инструктажи по безопасности, объясняйте сотрудникам не только ограничения, но и причины их введения. Люди гораздо реже нарушают правила, когда понимают их смысл.

Что мониторить во время работы

Доступ к информации должен быть по принципу необходимости. Бухгалтеру не нужна клиентская база полностью, а менеджеру — доступ ко всей финансовой отчетности. 

Создайте матрицу доступов: кто к чему имеет право. Пересматривайте ее раз в квартал. Сужайте полномочия администратора, который дает полный доступ всем по просьбе «чтобы было удобнее работать».

Ведите аудит действий — системно, но без паранойи:

  • Внедрите систему логирования важных действий: кто, когда и что делал с ценными данными.

  • Настройте оповещения о подозрительной активности: массовое скачивание файлов, доступ в нерабочее время.

  • Проводите выборочные проверки — не все подряд, а по сигналам или на критически важных участках.

Предупредите сотрудников о контроле — это само по себе снижает риски.

Мотивация важнее контроля. Довольные сотрудники реже вредят компании. Создайте условия, в которых лояльность выгоднее, чем обман:

  • конкурентная зарплата плюс бонусы за долгосрочные результаты;

  • перспективы карьерного роста внутри компании;

  • признание заслуг и уважение к личным границам.

Культура безопасности эффективнее тотального контроля. Когда каждый сотрудник понимает, почему важно защищать информацию, риски снижаются естественным образом.

Проводите короткие тренинги по безопасности, рассказывайте о реальных случаях утечек и их последствиях. Поощряйте сотрудников, которые замечают уязвимости в системе безопасности.

Что не упустить при увольнении

Увольнение сотрудника — это не просто бумажная процедура, а целый комплекс мер по защите компании. Особенно если человек имел доступ к важной информации, клиентам или ресурсам. Рассмотрим два сценария: плановый уход и увольнение в конфликтной ситуации.

Плановый уход: защищаем информацию

Даже когда сотрудник уходит мирно и по собственному желанию, важно соблюсти процедуру безопасности:

1. Заблокируйте доступы к системам в день увольнения.

2. Смените пароли к общим ресурсам и исключите сотрудника из рабочих  чатов в мессенджерах.

3. Начинайте мониторить действия сотрудника после подачи им заявления на увольнение и проверьте его историю действий за последний месяц.

4. Проверьте наличие подписи на ознакомлении с  положением о режиме коммерческой тайны в организации и иных документах, где требуется наличие его подписи.

5. Подпишите акт с сотрудником о возврате имущества (ПК, ноут, телефон и т.п.) и документах не позднее дня увольнения.

6. Проведите exit-интервью, чтобы понять причины ухода.

Большинство компаний забывают о «невидимых» каналах утечки информации. Обязательно проверьте, есть ли у уходящего сотрудника доступы к внешним сервисам — рекламным кабинетам, CRM-системам, рассылкам. Позаботьтесь о передаче личных контактов с клиентами. И помните: копии данных могут храниться на личных устройствах — попросите удалить их в вашем присутствии.

Если расставание прошло со скандалом

В конфликтной ситуации время работает против вас. Первые 24 часа критически важны:

1. Немедленно блокируйте доступ к информации.

2. Заблокируйте все входы в ИТ-инфраструктуру компании, удалите из чатов и т.п.

3. Проверьте историю действий за последние 2-3 недели.

4. Предупредите клиентов и партнеров, с которыми работал сотрудник.

5. Зафиксируйте все факты нарушений, если они были, проведите расследование при необходимости.

Что делать после ухода сотрудника

Юридическая защита — это не просто формальность. Составьте подробный акт приема-передачи дел с описанием всех незавершенных проектов. Возьмите письменное подтверждение возврата оборудования (акт) и уничтожения копий конфиденциальной информации.

После ухода сотрудника отслеживайте появление вашей информации в открытых источниках — это легально. Обратите внимание на внезапный переход ключевых клиентов к конкурентам — проведите корректный опрос об их опыте работы. Иногда стоит наблюдать за активностью бывшего сотрудника в социальных сетях и профессиональных сообществах, но только в рамках публичной информации.

О балансе между защитой и доверием

Все-таки избыточный контроль убивает инициативу и мотивацию. Создайте атмосферу взаимного доверия, но с четкими границами и последствиями за их нарушение. Цель не в том, чтобы поймать нарушителя, а в том, чтобы предотвратить нарушения.

С чего начать, если вы раньше не думали о безопасности:

1. Проведите аудит текущих доступов — кто к чему имеет право.

2. Составьте список  коммерчески ценной информации компании.

3. Утвердите карту защиту такой информации.

4. Внедрите базовые меры для защиты самого ценного.

5. Добавляйте новые меры постепенно, объясняя их необходимость сотрудникам.

Защита бизнеса от внутренних угроз — это не недоверие к команде, а забота о благополучии всех: владельцев, сотрудников и клиентов. Не ждите, пока проблема возникнет — начните с малого, но сегодня.

Начать дискуссию

ГлавнаяБух.Совет