Утечка коммерческой информации

Аналитические возможности
DLP-системы

Ценность коммерческой информации в условиях конкурентной борьбы сложно переоценить. Владея подобной информацией и организовав ее адекватную защиту, компаниям удается занять нишу на рынке товаров и услуг. А применение закрытой информации позволяет победить в конкурентной борьбе и занять место лидера.

Однако некоторые компании до сих пор не осознают необходимость защиты коммерческих сведений от утечек. В основном это касается частных предпринимателей и небольших компаний. Большие корпорации давно принимают меры по соблюдению режима коммерческой тайны и защищают закрытую информацию от неправомерных действий конкурентов и инсайдеров.

Понятие коммерческой тайны

Под коммерческой тайной понимают деловую информацию, представляющую реальную или потенциальную ценность для компании по финансовым причинам. При попадании такой информации в руки конкурентов она становится источником получения неправомерной коммерческой выгоды. Утечка информации, содержащей деловую тайну, приносит убытки компании, а иногда даже становится причиной банкротства.

Материальным выражением коммерческой тайны выступает секретная управленческая, производственная, техническая и торговая информация, закрепленная документально.

В условиях рыночных взаимодействий отношение к информации аналогично отношению к продукции. Ее охраняют от неправомерного доступа, используют как оружие в конкурентной борьбе, а также для увеличения дохода. Администрация компании обязана знать специфику создания, обработки, хранения, использования и передачи информации, содержащей коммерческую тайну.

Точный перечень конфиденциальной информации устанавливает руководитель или собственник компании.

ФЗ «О коммерческой тайне» законодательно закрепил перечень мероприятий, необходимых для защиты конфиденциальной информации. Однако в реальности перечисленных законом мер недостаточно для предотвращения утечек коммерческой тайны. Поэтому каждая компания разрабатывает и внедряет свои меры (правовые, организационные, технические) по предотвращению утечек конфиденциальных сведений.

Несмотря на жалобы предпринимателей о дороговизне системы безопасности конфиденциальной информации, существует ряд методов защиты, не требующих больших финансовых вложений.

Основные каналы утечек

На основе социальных исследований определены главные каналы утечки информации, представляющей финансовую или коммерческую ценность для компании.

В первую очередь угрозу безопасности конфиденциальной информации представляют средства связи с контрагентами – телефон, e-mail, факс и почта. Варианты утечек информации по указанным каналам следующие:

  • во время частного разговора по телефону сотрудник может непреднамеренно сообщить информацию, содержащую коммерческую тайну. Либо конкуренты умышленно перехватят телефонные переговоры с целью промышленного шпионажа;
  • по почте (электронной, обычной или факсимильной) сотрудник может ошибочно передать закрытую информацию лицу, которому она не предназначалась. Однако подобные случаи – исключение из правил. Факсимильная связь является наиболее безопасным средством передачи информации;
  • электронная почта менее защищена от неправомерных действий, так как передаваемая информация сохраняется на двух e-mail – с которой отправляется и на которую отправляется. А доступ к корпоративной электронной почте имеет большое количество персонала. Для несанкционированного доступа необязательно знать пароль, достаточно подсмотреть его при вводе либо воспользоваться открытым e-mail в то время, когда пользователь отлучился;
  • во время пересылки почтовых писем они могут быть открыты и прочитаны лицами, которым не предназначались.

Послужить каналом непреднамеренной утечки информации может ее разглашение в средствах массовой информации – в газетах, на радио или телевидении. Такое разглашение происходит неумышленно из-за волнения и неумения избирательно сообщать информацию.

Утечки коммерческих сведений происходят при перевозке продукции или ее деталей, а также технической документации, содержащей конфиденциальную информацию. Транспортируемый груз может быть украден или потерян, а также доставлен лицам, не являющимся адресатом.

Промышленный шпионаж недобросовестных конкурентов включает установку прослушивающего оборудования для получения информации, оглашаемой на территории компании – в офисе или в цехе. Для сбора информации используется и видеоаппаратура.

Инсайдеры – самый опасный канал утечки. Персонал компании владеет большим объемом информации относительно работодателя, в том числе и относящейся к коммерческой тайне. Утечки сведений происходят как во время сотрудничества с работником, так и после его увольнения.

Включение в годовой отчет информации, представляющей коммерческую ценность, обнародование которой не является обязательным в соответствии законодательством, – еще одна причина утечки конфиденциальных сведений.

Процесс работы компании связан с взаимодействием с контрагентами и подписанием договоров о сотрудничестве. Во время переговоров, при подписании соглашений, а также во время их исполнения контрагенту предоставляются коммерческие сведения. Игнорирование дозирования такой информации приводит к утечкам.

Еще один канал утечки – предоставление государственным или муниципальным властям конфиденциальной информации в соответствии со статьей 6 ФЗ «О коммерческой тайне». Сотрудники госструктур или муниципалитета, используя должностное положение, обнародуют коммерческие сведения, а доказать факт утечки с их участием крайне сложно.

Превентивные меры защиты закрытой информации

В соответствии с ФЗ «О защите коммерческой тайны» для безопасности хранения и использования закрытой информации необходимо следующее:

  • обособление сведений, составляющих коммерческую тайну;
  • создание персонифицированного доступа к получению такой информации;
  • прописывание соглашения о неразглашении закрытых сведений в трудовых договорах с сотрудниками и гражданско-правовых – с контрагентами;
  • маркировка грифом «Для служебного пользования» материальных носителей информации.

При создании комплексной защиты конфиденциальной информации необходимо учесть два аспекта:

  1. Система информационной безопасности должна по возможности исключать утечку коммерческих сведений и минимизировать убытки компании.
  2. Указанная система не должна препятствовать функционированию компании.

Чтобы предупредить утечку данных при взаимодействии с контрагентами, прописывается порядок передачи закрытой информации. Для этого издают внутренний документ (приказ) о правилах взаимодействия с контрагентами. Лучшее решение – передача документации, содержащей коммерческие сведения, лично. Также подобный приказ предусматривает запрет на ведение телефонных переговоров с разглашением закрытой информации. Такие вопросы решаются при личных встречах.

Дополнительно назначается сотрудник, ответственный за доставку контрагентам документации, продукции, запчастей, содержащих закрытые сведения. Такая мера позволяет мониторить и анализировать связи с контрагентами.

Технические меры включают установку на каждом рабочем месте (ПК) персонального пароля для входа в систему, который знает только сотрудник, работающий за компьютером. Это исключает несанкционированный доступ к корпоративному e-mail персонала, не имеющего такого права. Дополнительно устанавливается пароль на пересылаемые сообщения, содержащие конфиденциальные сведения.

Переговоры о сотрудничестве проводятся по телефону или при помощи видеоконференции в помещении с контролируемым доступом.

Все документы, которые будут обнародованы путем публикации или оглашения в эфире радио или телестудии, согласовываются с руководителем отдела или компании, во избежание разглашения информации конфиденциального характера. Эта процедура также прописывается во внутреннем приказе.

Также детально прописывается порядок согласования. Если компания небольшая, руководитель самостоятельно проверяет все публикуемые документы на наличие коммерческой информации. Если такая публикация происходит в крупной корпорации, изучение документации проводится специально созданной комиссией или назначенным сотрудником, отвечающим за сохранение коммерческой тайны.

Нейтрализовать прослушивающее оборудование поможет техническое оснащение компании, а также внутренняя видеосъемка.

Следующее звено превентивных мер по защите информации – организационные мероприятия. К ним относятся:

  • пропускной режим для входа на территорию компании;
  • проведение совещаний и переговоров с партнерами в специально оборудованных помещениях, защищенных от записи аудио и видео;
  • запрет на использование мобильных телефонов во время совещаний или переговоров.

Дополнительная страховка от потери закрытой информации – подписание с уволенным сотрудником соглашения о неразглашении коммерческой тайны, в соответствии с которым бывший работник обязуется на протяжении прописанного срока после прекращения трудовых отношений не распространять коммерческие сведения. За подписание подобного соглашения сотруднику полагается денежное вознаграждение. Доказать факт обнародования конфиденциальных сведений бывшим сотрудником организации крайне сложно, поэтому материальная мотивация целесообразна.

Установление уровней секретности информации в зависимости от возможного ущерба – еще один метод превентивной борьбы с утечками. Оптимальное решение – трехуровневый доступ к секретным сведениям: секретно, повышенной секретности, строгой секретности. В соответствии с уровнями секретности формируются уровни проверки персонала для предоставления права доступа, а также система мониторинга за работой сотрудников с секретной информацией.

Работа сотрудников партнерских компаний осуществляется под контролем. Им предоставляется право на ознакомление с той документацией, в отношении которой достигнута договоренность. Таким образом, ответственный сотрудник принимающей компании проверяет у работников партнерской организации полномочия на ознакомление с информацией и соответствие запрашиваемых сведений достигнутой ранее договоренности. После проведения проверки сотрудник партнерской компании получает допуск. Факт получения доступа, ознакомления, а также список документов фиксируются в акте, который подписывается обеими сторонами.

Чтобы утечка информации не произошла при сдаче публичной отчетности компании, например годового отчета, следует:

  • сформировать отчетность на основании сведений, требуемых законодательством;
  • согласовать подаваемый отчет с руководством компании.

Увеличить инвестиционную привлекательность организации поможет больший объем данных публичного отчета. В такой ситуации рекомендуется ввести многоуровневую проверку сформированного отчета для выявления сведений, составляющих коммерческую тайну.

Отказ в предоставлении государственным и муниципальным властям информации, составляющей коммерческую тайну, влечет ответственность компании. А сведения запрашиваются по решению суда. Кроме государственных и муниципальных властей правом запросить конфиденциальную информацию обладают суд, органы дознания и следствия в отношении дел, которые находятся в их производстве.

Предоставляется информация госструктурам в ответ на мотивированный запрос (с указанием целей и правового обоснования его направления), подписанный уполномоченным должностным лицом.

При подготовке ответа на запрос государственного или муниципального органа следует соблюдать установленные законом правила:

  1. Подготовленный ответ помечается грифом «Коммерческая тайна».
  2. Госорганы, получившие информацию, обязаны обеспечить ее безопасность и не вправе разглашать сведения без согласия компании, их предоставившей. Исключение составляет информация, полученная органами МВД в рамках расследования уголовного правонарушения.
  3. За разглашение сведений, составляющих коммерческую тайну, должностные лица привлекаются к ответственности.

Технические меры защиты конфиденциальных сведений

Без современного программного обеспечения создать безопасные условия хранения и передачи конфиденциальных сведений невозможно. Для защиты баз данных используются DLP-системы (в переводе с английского Data Leak Prevention – предупреждение хищения сведений).

Современные DLP-системы – лучшее превентивное средство против утечек коммерческой информации. Работа такой системы основана на создании безопасного информационного пространства, в котором производится отслеживание и контроль исходящей и входящей корреспонденции (Интернет-трафика, документации, выходящей за пределы защищаемого пространства на внешних носителях, распечатки на принтерах, передачи на мобильные устройства).

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

DLP-система определяет уровень конфиденциальности документации двумя способами:

  1. При помощи мониторинга заранее нанесенных на документы маркеров. Такая методика имеет свои недостатки. При изменении формата документа маркировка исчезает.
  2. Анализ самого документа.

Выбирая DLP-систему, следует просчитать, что будет выгоднее – купить недорогой продукт, требующий постоянного присутствия специалистов компании-провайдера, или более дорогое ПО, работающее автономно. Стоит учесть, что труд IT-специалистов стоит недешево. При запуске и настройке системы защиты рекомендуется максимально устранить IT-специалистов от контакта с коммерческой информацией, которую компания старается защитить.

Подводя итоги

Детальный анализ основных каналов утечки коммерческой информации позволяет сделать вывод о том, что они приносят значительный урон деятельности компании. И меры, прописанные в ФЗ «О защите коммерческой тайны», не могут в полной мере обеспечить безопасность информации.

Поэтому в дополнение к законодательным мерам проводят организационные и технические мероприятия, наработанные практикой в области создания и поддержания кибербезопасности. Главным условием успешности защиты коммерческой информации является внедрение комплекса мер, направленных на нейтрализацию каналов потери конфиденциальных сведений и предупреждение новых утечек.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.