Как внедрить режим коммерческой тайны в организации. Краткая инструкция
Режим коммерческой тайны (КТ). Для большинства людей этот термин нативно понятен и пояснений не требует. Однако на практике даже специалисты по информационной безопасности не всегда могут объяснить, для чего он используется, нужен ли конкретной организации и как его установить. Бумажная работа пугает не меньше, чем отсутствие режима. И если в крупных компаниях режим КТ есть практически повсеместно, у малого и среднего бизнеса не всегда доходят руки до его введения. Частые оправдания – «у нас нет на это ресурсов», «да-да, но только не сейчас», «лучше бы этим юристы занялись». Между тем режим КТ часто является не опциональным приложением, а именно основой построения систем информационной безопасности, особенно в части защиты от внутренних угроз. Попробуем разобраться в вопросе и приведем рекомендации, которые помогут даже не слишком искушенному в юридических вопросах сотруднику успешно пройти все шаги и сделать свою компанию сильнее перед лицом актуальных угроз.
Угрозы и решения
Поскольку мы затронули тему внутренних угроз, нужно внести ясность. Соотношение потерь организаций от внутренних и внешних угроз, по оценкам Zecurion Analytics, порядка 4 к 1. А в некоторых случаях даже выше. Карантин и удаленный режим работы также способствуют росту этого коэффициента. В условиях неуверенности в завтрашнем дне, работая из дома, всё больше сотрудников склонны нарушать корпоративные политики и копируют конфиденциальные данные на личные носители. Каким образом будут их использовать –вопрос открытый. Возможно, они так и останутся на дисках, пока не потеряют актуальности или не будут затёрты новыми данными, но исключать того, что сотрудник использует их на новом месте работы или не передаст заинтересованным конкурентам в желании заработать – тоже нельзя. Лояльность сотрудников – величина непостоянная. Известно немало случаев бессмысленной мести со стороны обиженных кадров, а если на этом можно еще и заработать – причина для кражи информации становится более весомой.
Если не вдаваться в подробности, борьба с внутренними угрозами ведется по двум направлениям.
Первое – использование организационных, прежде всего профилактических мер, обучение, тренинги, беседы с компетентными сотрудниками службы безопасности.
Второе – внедрение технических средств контроля перемещения информации (DLP, Data Loss Prevention) или защиты от несанкционированных действий привилегированных пользователей (PAM, Privileged Access Management). Но когда мы говорим о техническом контроле действий сотрудников, о переписке, возникают вопросы законности процесса: нет ли конфликтов с интересами и правами самих работников, других законодательных актов?
На самом деле нет. Организации вправе или даже обязаны защищать конфиденциальную информацию, имеют для этого все полномочия. И без режима КТ в теории можно обойтись, особенно если конфиденциальная информация организации подпадает под другие виды тайны, охраняемых законом – например, банковская или врачебная тайна, персональные данные. Однако каждый из этих видов весьма ограничен, в то время как в отношении КТ компания сама решает, какую информацию сюда следует отнести.
Введение режима коммерческой тайны
Выше мы уже говорили о том, что режим КТ служит основой построения системы защиты информации. Действительно, когда компания «дозревает» до DLP-системы и понимает, что доверять всем сотрудникам нельзя, а бороться одними лишь организационными мерами неэффективно, не следует ограничиваться лишь пилотным проектом в стиле «сейчас я всех вас, подлые инсайдеры, найду». Тем более что внедрение режима КТ не требует больших финансовых расходов и других ресурсов. Это обычная рутина, которой немало в работе безопасника, а наши рекомендации помогут сделать процесс еще проще.
Итак, что нужно сделать:
1. Составить перечень информации, являющейся КТ
Самое интересное, что коммерческой тайной можно назвать много типов конфиденциальной информации. Список клиентов или контрагентов, условия работы с ними. Или особенности технологического процесса и чертежи оборудования. Поэтому КТ подходит для организаций разного размера и отраслей. Исходя из особенностей своей деятельности, каждая компания сможет включить в КТ свои типы информации. Эта информация и будет защищаться с использованием технических решений, DLP- или каких-то других систем.
2. Составить положение о КТ
В положении должен быть определен список должностей, которые имеют доступ к КТ. Помимо этого, стоит прописать ответственность за нарушение и перечень сведений, составляющих КТ.
3. Подготтовить соглашение о конфиденциальности для сотрудников
Может быть оформлено отдельным документом или как дополнительные пункты в трудовых договорах. Обязательство не разглашать КТ уже своим существованием будет дополнительным сдерживающим фактором для работников. Не защитит от нарушений и не убережет от ошибок, но поможет их сократить. А в случае разглашения – это обязательство станет одним из оснований для привлечения виновного к ответственности.
4. Издать приказ о введении режима КТ
Это та точка, когда режим КТ из проекта превращается в реальность. Приказ утверждает положение о КТ и другие нормативно-распорядительные документы. До этого даже готовый перечень КТ не является значимым документом. Требовать соблюдения режима КТ можно после выполнения следующего шага.
5. Ознакомить сотрудников с положением о КТ
Это не должна быть пустая формальность или упоминание между делом. Прежде всего, сотрудники должны быть ознакомлены с пакетом документов под подпись. Хорошей практикой может стать попутное проведение тренинга по вопросам защиты информации, рассказ об актуальных угрозах – ведь не все сотрудники нарушают режим КТ целенаправленно. А тем, кто задумывается о краже данных, стоит напомнить об ответственности, можно с примерами. Наконец, чтобы режим эффективно работал, надо сделать еще один шаг.
6. Подключить технические средства
Например, DLP-систему, контролирующую электронные каналы коммуникации и деятельность сотрудников на рабочих местах. Где-то это может быть решение другого класса или комплексная система, включающая несколько продуктов. Но контроль коммуникаций, а также архив событий и файлов в любом случае пригодятся для выявления нарушений, расследования инцидентов и привлечения нарушителей к ответственности.
Для выполнения пунктов изложенного плана можно привлекать заинтересованных коллег. Например, руководители бизнес-подразделений помогут сориентироваться, какая информация нуждается в защите в их отделах. А юристы или HR окажут содействие в доработке трудовых договоров.
Некоторые практические нюансы
При разработке перечня КТ следует обратить внимание на статью 5 Федерального закона «О коммерческой тайне». Здесь указаны сведения, которые не могут составлять коммерческую тайну. Эти ограничения, тем не менее, вполне логичны и не отменяют того, что было сказано о понятии КТ выше – это действительно универсальный инструмент для компаний разных сфер деятельности.
Также не стоит всю корпоративную информацию относить к коммерческой тайне. В нашей практике встречались такие попытки. Но на деле это не будет работать. Список КТ не должен размываться и включать документы, которые, очевидно, тайны не составляют. В противном случае и работники не станут ответственно относиться к защите информации. Культ конфиденциальности всего нивелирует ценность по-настоящему критичных к утечке данных.
Попытку упростить себе жизнь и отказаться от категоризации корпоративной информации можно понять с человеческой точки зрения. В корпоративной среде часто встречается проблема с хранением данных. Даже сотрудники профильных подразделений не всегда знают, где можно найти нужную информацию. Базы данных, файловые серверы, CRM-, HRM- и другие специализированные системы хранения, ну и конечно, локальные копии «на всякий случай» запутают кого угодно. Для решения этой проблемы существуют продукты, которые выявляют места хранения конфиденциальных данных и классифицируют информацию, находящуюся в различных системах корпоративной сети.
Следующий момент. В положение о КТ имеет смысл включить перечень законодательных актов, которые использовались при его составлении. Законодательная база на самом деле не очень велика, и перечисление не займет много времени. Базово это Трудовой кодекс, несколько федеральных законов и Указ Президента РФ.
Можно предположить, что некоторые сотрудники организации не будут попадать под действие режима КТ. Здесь можно сказать примерно то же, что и в отношении информации, составляющей КТ. Если какие-то должности не предполагают использования КТ, не стоит давать им доступ к этим сведениям и затем требовать соблюдения режима. Это лишнее, избавьтесь от ненужных ограничений, тем самым упростите жизнь людям и сократите риски для информации.
Наконец, важно понимать, что введение режима КТ в любом случае является дополнительным ограничением для сотрудников, поэтому сам по себе он вряд ли будет встречен с большим энтузиазмом. Всё зависит от того, как подать информацию. Ведь режим вводится не ради прихоти начальства. Сохранность конфиденциальных данных позволит компании эффективнее вести бизнес, улучшить финансовые показатели, которые, в свою очередь, могут положительно отразиться на заработке людей. Понимая положительные стороны режима КТ, люди будут более склонны его соблюдать, чем зная лишь последствия нарушения.
Вместо заключения
Доверительные отношения в коллективе – это важный элемент корпоративной культуры. Но когда мы говорим о доверии в контексте сохранности информации, это хорошо работает в маленьких семейных или дружеских фирмах, где все знакомы, объединены общей целью, ну или, по крайней мере, находятся на виду у коллег. С ростом коллектива одного доверия уже недостаточно, поэтому для компаний крупного и среднего бизнеса система защиты информации от утечки является стандартом. Как показывает опыт наших заказчиков, DLP-системы используются не только для контроля перемещения информации. Среди их основных задач —выявление мошеннических схем, сговора сотрудников внутри организации и с внешними контрагентами, составление т. н. «групп риска», мониторинг снижения лояльности и др.
А полезной основой для внедрения технических решений является режим КТ. Введение режима не только даёт основания для защиты информации, контроля корпоративных коммуникаций и привлечения нарушителей к ответственности, но и упорядочивает понимание конфиденциальной информации внутри компании. Ведь так трудно защищать информацию от утечки, когда мы сами не точно представляем, что это за информация, где она хранится, как используется и кто имеет к ней доступ.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 27.08.2020