Как внедрить режим коммерческой тайны в организации. Краткая инструкция

Логотип компании
Как внедрить режим коммерческой тайны в организации. Краткая инструкция
Hежим КТ часто является не опциональным приложением, а именно основой построения систем информационной безопасности, особенно в части защиты от внутренних угроз.

Режим коммерческой тайны (КТ). Для большинства людей этот термин нативно понятен и пояснений не требует. Однако на практике даже специалисты по информационной безопасности не всегда могут объяснить, для чего он используется, нужен ли конкретной организации и как его установить. Бумажная работа пугает не меньше, чем отсутствие режима. И если в крупных компаниях режим КТ есть практически повсеместно, у малого и среднего бизнеса не всегда доходят руки до его введения. Частые оправдания – «у нас нет на это ресурсов», «да-да, но только не сейчас», «лучше бы этим юристы занялись». Между тем режим КТ часто является не опциональным приложением, а именно основой построения систем информационной безопасности, особенно в части защиты от внутренних угроз. Попробуем разобраться в вопросе и приведем рекомендации, которые помогут даже не слишком искушенному в юридических вопросах сотруднику успешно пройти все шаги и сделать свою компанию сильнее перед лицом актуальных угроз.

Угрозы и решения

Поскольку мы затронули тему внутренних угроз, нужно внести ясность. Соотношение потерь организаций от внутренних и внешних угроз, по оценкам Zecurion Analytics, порядка 4 к 1. А в некоторых случаях даже выше. Карантин и удаленный режим работы также способствуют росту этого коэффициента. В условиях неуверенности в завтрашнем дне, работая из дома, всё больше сотрудников склонны нарушать корпоративные политики и копируют конфиденциальные данные на личные носители. Каким образом будут их использовать –вопрос открытый. Возможно, они так и останутся на дисках, пока не потеряют актуальности или не будут затёрты новыми данными, но исключать того, что сотрудник использует их на новом месте работы или не передаст заинтересованным конкурентам в желании заработать – тоже нельзя. Лояльность сотрудников – величина непостоянная. Известно немало случаев бессмысленной мести со стороны обиженных кадров, а если на этом можно еще и заработать – причина для кражи информации становится более весомой.

Если не вдаваться в подробности, борьба с внутренними угрозами ведется по двум направлениям.

Первое – использование организационных, прежде всего профилактических мер, обучение, тренинги, беседы с компетентными сотрудниками службы безопасности.

Второе – внедрение технических средств контроля перемещения информации (DLP, Data Loss Prevention) или защиты от несанкционированных действий привилегированных пользователей (PAM, Privileged Access Management). Но когда мы говорим о техническом контроле действий сотрудников, о переписке, возникают вопросы законности процесса: нет ли конфликтов с интересами и правами самих работников, других законодательных актов?

На самом деле нет. Организации вправе или даже обязаны защищать конфиденциальную информацию, имеют для этого все полномочия. И без режима КТ в теории можно обойтись, особенно если конфиденциальная информация организации подпадает под другие виды тайны, охраняемых законом – например, банковская или врачебная тайна, персональные данные. Однако каждый из этих видов весьма ограничен, в то время как в отношении КТ компания сама решает, какую информацию сюда следует отнести.

Введение режима коммерческой тайны

Выше мы уже говорили о том, что режим КТ служит основой построения системы защиты информации. Действительно, когда компания «дозревает» до DLP-системы и понимает, что доверять всем сотрудникам нельзя, а бороться одними лишь организационными мерами неэффективно, не следует ограничиваться лишь пилотным проектом в стиле «сейчас я всех вас, подлые инсайдеры, найду». Тем более что внедрение режима КТ не требует больших финансовых расходов и других ресурсов. Это обычная рутина, которой немало в работе безопасника, а наши рекомендации помогут сделать процесс еще проще.

Итак, что нужно сделать:

1. Составить перечень информации, являющейся КТ

Самое интересное, что коммерческой тайной можно назвать много типов конфиденциальной информации. Список клиентов или контрагентов, условия работы с ними. Или особенности технологического процесса и чертежи оборудования. Поэтому КТ подходит для организаций разного размера и отраслей. Исходя из особенностей своей деятельности, каждая компания сможет включить в КТ свои типы информации. Эта информация и будет защищаться с использованием технических решений, DLP- или каких-то других систем.

2. Составить положение о КТ

В положении должен быть определен список должностей, которые имеют доступ к КТ. Помимо этого, стоит прописать ответственность за нарушение и перечень сведений, составляющих КТ.

3. Подготтовить соглашение о конфиденциальности для сотрудников

Может быть оформлено отдельным документом или как дополнительные пункты в трудовых договорах. Обязательство не разглашать КТ уже своим существованием будет дополнительным сдерживающим фактором для работников. Не защитит от нарушений и не убережет от ошибок, но поможет их сократить. А в случае разглашения – это обязательство станет одним из оснований для привлечения виновного к ответственности.

4. Издать приказ о введении режима КТ

Это та точка, когда режим КТ из проекта превращается в реальность. Приказ утверждает положение о КТ и другие нормативно-распорядительные документы. До этого даже готовый перечень КТ не является значимым документом. Требовать соблюдения режима КТ можно после выполнения следующего шага.

5. Ознакомить сотрудников с положением о КТ

Это не должна быть пустая формальность или упоминание между делом. Прежде всего, сотрудники должны быть ознакомлены с пакетом документов под подпись. Хорошей практикой может стать попутное проведение тренинга по вопросам защиты информации, рассказ об актуальных угрозах – ведь не все сотрудники нарушают режим КТ целенаправленно. А тем, кто задумывается о краже данных, стоит напомнить об ответственности, можно с примерами. Наконец, чтобы режим эффективно работал, надо сделать еще один шаг.

6. Подключить технические средства

Например, DLP-систему, контролирующую электронные каналы коммуникации и деятельность сотрудников на рабочих местах. Где-то это может быть решение другого класса или комплексная система, включающая несколько продуктов. Но контроль коммуникаций, а также архив событий и файлов в любом случае пригодятся для выявления нарушений, расследования инцидентов и привлечения нарушителей к ответственности.

Для выполнения пунктов изложенного плана можно привлекать заинтересованных коллег. Например, руководители бизнес-подразделений помогут сориентироваться, какая информация нуждается в защите в их отделах. А юристы или HR окажут содействие в доработке трудовых договоров.

Некоторые практические нюансы

При разработке перечня КТ следует обратить внимание на статью 5 Федерального закона «О коммерческой тайне». Здесь указаны сведения, которые не могут составлять коммерческую тайну. Эти ограничения, тем не менее, вполне логичны и не отменяют того, что было сказано о понятии КТ выше – это действительно универсальный инструмент для компаний разных сфер деятельности.

Также не стоит всю корпоративную информацию относить к коммерческой тайне. В нашей практике встречались такие попытки. Но на деле это не будет работать. Список КТ не должен размываться и включать документы, которые, очевидно, тайны не составляют. В противном случае и работники не станут ответственно относиться к защите информации. Культ конфиденциальности всего нивелирует ценность по-настоящему критичных к утечке данных.

Читайте также
После ухода основных зарубежных вендоров печатного оборудования российские компании оказались наедине со статичной инфраструктурой. Как бизнесу решить проблему? Сформировать новую локальную установку нужного ПО на базе доступных в России иностранных решений или же перейти на отечественное ПО? IT-World рассказывает о системах мониторинга работы печатного оборудования и системах управления печатью.

Попытку упростить себе жизнь и отказаться от категоризации корпоративной информации можно понять с человеческой точки зрения. В корпоративной среде часто встречается проблема с хранением данных. Даже сотрудники профильных подразделений не всегда знают, где можно найти нужную информацию. Базы данных, файловые серверы, CRM-, HRM- и другие специализированные системы хранения, ну и конечно, локальные копии «на всякий случай» запутают кого угодно. Для решения этой проблемы существуют продукты, которые выявляют места хранения конфиденциальных данных и классифицируют информацию, находящуюся в различных системах корпоративной сети.

Следующий момент. В положение о КТ имеет смысл включить перечень законодательных актов, которые использовались при его составлении. Законодательная база на самом деле не очень велика, и перечисление не займет много времени. Базово это Трудовой кодекс, несколько федеральных законов и Указ Президента РФ.

Можно предположить, что некоторые сотрудники организации не будут попадать под действие режима КТ. Здесь можно сказать примерно то же, что и в отношении информации, составляющей КТ. Если какие-то должности не предполагают использования КТ, не стоит давать им доступ к этим сведениям и затем требовать соблюдения режима. Это лишнее, избавьтесь от ненужных ограничений, тем самым упростите жизнь людям и сократите риски для информации.

Наконец, важно понимать, что введение режима КТ в любом случае является дополнительным ограничением для сотрудников, поэтому сам по себе он вряд ли будет встречен с большим энтузиазмом. Всё зависит от того, как подать информацию. Ведь режим вводится не ради прихоти начальства. Сохранность конфиденциальных данных позволит компании эффективнее вести бизнес, улучшить финансовые показатели, которые, в свою очередь, могут положительно отразиться на заработке людей. Понимая положительные стороны режима КТ, люди будут более склонны его соблюдать, чем зная лишь последствия нарушения.

Вместо заключения

Доверительные отношения в коллективе – это важный элемент корпоративной культуры. Но когда мы говорим о доверии в контексте сохранности информации, это хорошо работает в маленьких семейных или дружеских фирмах, где все знакомы, объединены общей целью, ну или, по крайней мере, находятся на виду у коллег. С ростом коллектива одного доверия уже недостаточно, поэтому для компаний крупного и среднего бизнеса система защиты информации от утечки является стандартом. Как показывает опыт наших заказчиков, DLP-системы используются не только для контроля перемещения информации. Среди их основных задач —выявление мошеннических схем, сговора сотрудников внутри организации и с внешними контрагентами, составление т. н. «групп риска», мониторинг снижения лояльности и др.

А полезной основой для внедрения технических решений является режим КТ. Введение режима не только даёт основания для защиты информации, контроля корпоративных коммуникаций и привлечения нарушителей к ответственности, но и упорядочивает понимание конфиденциальной информации внутри компании. Ведь так трудно защищать информацию от утечки, когда мы сами не точно представляем, что это за информация, где она хранится, как используется и кто имеет к ней доступ.

Смотреть все статьи по теме "Информационная безопасность"

Опубликовано 27.08.2020

Похожие статьи