Конфиденциальная информация играет значительную роль в бесперебойной работе компании. Суть понятия «конфиденциальность данных» заключается в том, что доступ к данным ограничен. Ограничения, с одной стороны, связаны с коммерческой тайной и внутренними правилами компании, а с другой – обусловлены законами о защите критически важной информации. В качестве примера конфиденциальной информации помимо коммерческой тайны можно привести персональные данные сотрудников и контрагентов, служебные данные, данные о новых разработках и т.д. Любая информация может пригодиться злоумышленникам в разных ситуациях.
Разновидности хищения данных называют утечкой конфиденциальной информации. Утечкой считают неконтролируемый выход конфиденциальных сведений за пределы компании или круга лиц, которым доверили хранение информации ограниченного круга лиц. Утечка происходит по каналам передачи данных. Неконтролируемые каналы нарушают безопасность систем защиты. Основными способами утечки информации считают разглашение данных посторонним лицам; утечка информации техническим способом связи и несанкционированный доступ к информации.
В сфере технологий и защиты информации каналы утечки конфиденциальных данных принято классифицировать как прямые или косвенные. Под прямыми каналами подразумевают способы хищения информации, в которых используется прямой доступ к данным и необходимо проникнуть на объект. Обычно ими пользуются инсайдеры, совершая умышленное копирование данных. Под косвенными каналами понимают те, которые не требуют проникновения в здание, а вся информация добывается дистанционно. Сама утечка может быть как умышленной, так и непреднамеренной, когда сотрудники по неосторожности допускают выход данных за пределы компании.
Основные разновидности каналов утечки – это работники компании; документация в письменном виде; технические каналы утечки конфиденциальной информации, например, акустические, электромагнитные, сети ПК, линии связи.
Утечка информации может осуществляться злоумышленниками совместно с другими компаниями. Это один из несанкционированных видов конкуренции. Например, чтобы получить сведения, используют инсайдеров, специалистов-консультантов.
Поскольку утечка конфиденциальной информации может нанести непоправимый ущерб компании, необходимо предпринимать комплексные меры по защите данных. Предварительно требуется проанализировать места хранения данных, а также круг пользователей, имеющих к ним доступ. Всю информацию далее классифицируют по нескольким уровням важности и секретности, а затем выдают сотрудникам дозированно, не более того объема, что требуется для выполнения должностных обязанностей.
В качестве технических средств защиты чаще всего службы безопасности используют физические способы, специальные аппараты и программное обеспечение.
Выберите нужно решение: DLP, SIEM или систему контроля рабочего времени – и получите бесплатно версию для тестирования.
При обеспечении защиты отдельного компьютера в первую очередь обращают внимание на защиту от нелегального доступа к данным, записи и чтения нелегально полученных данных, а также от контроля над обращениями к диску и от удаления остатков информации.
Главные принципы защиты данных заключаются в мерах профилактики, которые включают многошаговую аутентификацию пользователей, разграничение доступа к чувствительной информации, криптографические способы защиты данных и регистрация обращений за конфиденциальной информацией.
Каждый ПК, который принадлежит компании и подключен к корпоративной сети, необходимо защитить антивирусными программами. Базы антивирусов стоит регулярно обновлять, а по возможности пользоваться и другими средствами защиты от утечек в интернете.
Чтобы сработал закон о защите коммерческой тайны, необходимо предварительно установить объем информации, который относится к закрытым данным. Затем – выполнить профилактические шаги по защите: установить режим коммерческой тайны; ограничить доступ лиц к конфиденциальной информации; подписать соглашения с сотрудниками, указав границы информации «конфиденциально».
Если заблаговременно зафиксировать защиту критически важной информации на бумаге, то в дальнейшем многократно повышаются шансы привлечь виновного к ответственности в судебном порядке за разглашение конфиденциальных сведений и возместить убытки компании.
Поскольку именно сотрудники компании чаще всего становятся причиной распространения информации, а также ее передачи контрагентам, важно регламентировать связи и общение по рабочим вопросам. Работники должны четко знать и выполнять правила контактов со знакомыми или друзьями из фирм-конкурентов. Во время приема на работу с сотрудниками проводят беседы о соблюдении правил безопасности, знакомят с нормативными актами и режимом труда, принятым в компании регламентом работы с конфиденциальной информацией. Эта мера безопасности продиктована не только желанием руководства компаний, но и Трудовым кодексом Российской Федерации, в частности, статьей 68.
В целях сохранения особо важной информации в некоторых компаниях сотрудникам запрещают обсуждать конфиденциальные вопросы вне защищенного рабочего мест, обязывают передавать определенны виды документов только после личного контакт и, насколько возможно, отключают возможность передавать информацию любого характера по сети Интернет. В любом случае будет полезно избегать решения первостепенных задач по телефону и обсуждать чувствительные исключительно при личной встрече.
Если предприятие крупное и контактирует с конкурентами, то документооборот между компаниями лучше поручить одному-единственному сотруднику. Тогда будет проще осуществлять контроль связи с контрагентами и в случае утечки информации сузить круг подозреваемых.
Чтобы точно идентифицировать каждого пользователя, полезно ограничить доступ к информации на конкретных компьютерах и установить индивидуальный пароль для входа в систему. У каждого сотрудника, таким образом, будет доступ только к своей части данных, необходимой для работы и закрытой от инсайдеров или коллег. Если важные приложения или сведения передаются по электронной почте, то такая операция должна проводиться с использованием одноразового пароля.
Важно следить и за телефонными разговорами в офисе. Если передачи конфиденциальной информации по телефону никак не избежать, необходимо организовать проверку линий на предмет определения каналов утечки информации. Все сведения, которые планируются озвучивать публично, стоит предварительно согласовать с руководителем, особенно если речь идет о сообщении в СМИ или социальных сетях.
Лучше потратить время и продумать детали до мелочей на начальном этапе построения защиты от утечек, поскольку справиться с последствиями разглашения гораздо труднее, чем предотвратить инцидент. Важно установить четкий порядок согласования с начальством информации, которая передается за пределы компании. Если компания небольшая и объем конфиденциальной информации не велик, то руководить может лично контролировать все потоки данных. Крупные предприятия создают специализированные подразделения или назначают ответственных лиц за содержание и передачу конфиденциальных сведений.
Также стоит обратить внимание на технические устройства, которые блокируют посторонние сигналы на территории предприятия. Именно техника поможет обнаружить местонахождение прослушивающих и записывающих аппаратов. Дополнительную защиту обеспечит видеонаблюдение за сотрудниками в офисе и за территорией компании.
Усилит защиту периметра от утечек информации и специальная система пропуска сотрудников на территорию предприятия. Тогда на входах устанавливают турникеты с возможностью считывать информацию с пропусков или обустраивают пункт охраны. Деловые переговоры с контрагентами в таком случае проходят в специальных комнатах. Во время чрезвычайно важной деловой беседы рекомендуется отключить мобильные телефоны и проверить помещение на наличие звукозаписывающей аппаратуры.
Чтобы обезопасить секреты от «слива» бывшими работниками, компании заключают при увольнении дополнительные договоры о неразглашении информации, полученной в период работы. Таким образом, даже после увольнения сотрудник компании не вправе делиться полученными сведениями в течение нескольких месяцев или лет.
Отдельные случаи, когда бывшие работники не могут распространять информацию, закреплены в законе. Например, согласно части 3 статьи 1467 Гражданского кодекса Российской Федерации, даже после прекращения действия трудового договора бывший сотрудник не может разглашать информацию в течение всего срока действия права на секрет производства. На практике руководители компаний зачастую подкрепляют нормы закона дополнительными стимулами хранить молчание и включают в договор пункт о материальном вознаграждении.
Особенные меры предосторожности требуются при подготовке документации для годовых отчетов, которые планируется передавать в проверяющие структуры или публиковать в открытом доступе во исполнение закона. В сами документы рекомендуется включать максимально сухие сведения, которые можно разглашать во время презентации отчета. Все звенья сотрудников, которые трудились над документом, обязаны проверить и исключить лишние данные. Чем больше компания и масштабнее деятельность, тем больше информации содержится в бумагах. Поэтому проверка должна быть многоуровневой и на завершающем этапе с документами обязательно знакомится руководитель.
Конфиденциальную информацию о компании вправе потребовать государственные органы. Чтобы убедиться в правомерности требований, не следует выдавать информацию по устному запросу. Все официальные запросы должны фиксировать в бумажном виде и содержать обоснование причины разглашения. Мотивированный запрос подписывается должностным лицом. В случае отсутствия ответа из компании на оформленное по всем правилам требование наступает ответственность, предусмотренная статьей 15 закона «О коммерческой тайне».
В случае отказа предоставлять информацию на компанию могут подать в суд и затребовать данные в судебном порядке. Согласно закону «О коммерческой тайне», владелец данных обязан предъявить сведения по требованию суда, органов предварительного следствия и органов дознания по делам. И раскрытие в подобных случаях не считается утечкой информации.
При этом сами органы следствия или другие лица, получившие конфиденциальные сведения, обязаны предпринимать меры для сохранения данных, снабдить грифом «Коммерческая тайна», не допускать обнародования или передача третьим лицам. Вся информация в документах может распространяться только с согласия владельца, который предоставил бумаги органам. Исключение –работа с правоохранительными структурами при расследовании уголовных дел. В остальных случаях даже сотрудников правоохранительных органов могут привлечь к ответственности в случае нарушения сохранности конфиденциальной информации.
* * *
Утечек конфиденциальной информации можно избежать только в том случае, если непрерывно совершенствовать защиту информационного пространства компании. Способы защиты зависят от специфики деятельности, наличия средств и желания уделять время аспектам информационной безопасности. Важно вовремя нейтрализовать все возможные способы передачи конфиденциальных данных, поэтому вопросы о защите информации решаются комплексно, а проверка потенциально слабых мест ведется регулярно, что позволяет избежать формирования новых каналов утечки.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных