Коммерческая тайна как способ защиты

Защита коммерческой тайны

Защита коммерческой тайны
с помощью DLP-системы

П онятие «коммерческая тайна» в самом общем виде означает конфиденциальные сведения особой тактической или потенциальной важности. Раскрытие информации, составляющей коммерческую тайну, приводит к финансовым убыткам и может стать причиной банкротства. В обстоятельствах, когда угрозой становятся не только действия конкурентов, но и хакерские атаки, и вирусные эпидемии, защита коммерческой тайны – главное условие успешного ведения бизнеса.

Цели защиты коммерческой тайны

Комплекс мер по защите коммерческой информации решает одновременно несколько задач:

1. Помогает завоевать позиции в конкурентной среде, удержать, долю рынка и поток клиентов.
2. Обеспечивает защиту важных стратегических сведений на протяжении определенного времени.
3. Служит для ревизии потенциальных каналов утечки данных.
4. Предупреждает возможные риски, связанные с ротацией кадров.

Условия успешной защиты

Для эффективного функционирования системы защиты конфиденциальной коммерческой информации необходимо соблюсти несколько условий.

В первую очередь внутри компании должно быть достигнуто согласие по поводу финансовых, производственных, операционных и коммерческих аспектов деятельности. Обеспечение информационной безопасности включает также взаимодействие между всеми структурными подразделениями компании. Основой успешной защиты служит независимая оценка сведений и объектов, нуждающихся в защите, плюс разработка и согласование мер защиты еще до внедрения.

Дополнительным усилением защиты послужит личная материальная ответственность руководителей структурных подразделений и сотрудников, выполняющих работы «закрытого уровня». Санкции за несоблюдение условий секретности и обеспечения сохранности сведений, составляющих коммерческую тайну, лучше закрепить документально.

Способы защиты коммерческой информации

Прежде чем внедрять средства защиты чувствительных дынных, важно конкретизировать объект и предмет защиты.

В качестве объекта защиты в данном случае выступает информация, которая связана с функционированием компании и представляет финансовый и стратегический интерес для конкурентов, или – другими словами – коммерческая тайна.

Под предметом защиты понимаются носители информации, на которых фиксируются сведения, составляющие коммерческую тайну, включая бумажные и электронные документы; внешние накопители информации; другие устройства хранения и передачи данных.

Качественная защита коммерческой тайны подразумевает комплекс мер, объединяющий несколько направлений. Без комплексного подхода возможно нарушение конфиденциальности стратегических сведений коммерческого характера, в том числе:

• кража;
• хищение;
• утечка;
• фальсификация;
• несанкционированное распространение сведений, представляющих интерес для компаний-конкурентов.

Для обеспечения конфиденциальности финансовой информации и защиты коммерческой тайны компании сочетают технические средства с мерами правовой защиты, организационными и социально-психологическими инструментами.

Юридические меры защиты коммерческой тайны

Меры юридического характера означают принятие внутренних нормативных документов и построения работы в соответствии с законодательством о защите информации, составляющей коммерческую ценность.

Правовые основы защиты коммерческой тайны закладываются в уставах, приказах, правилах внутреннего трудового распорядка, контрактах и трудовых договорах. В коллективном договоре или трудовом соглашении отдельным пунктом оговаривается обязанность наемного сотрудника соблюдать правила сохранности сведений, которые стали известны по службе.

Фактически правовая защита информации реализуется в устоявшихся формах, выбор которых обусловлен сферой деятельности компании. Например:

• Создание специализированного делопроизводства с особым способом хранения, передачи и доступа к документации, составляющей коммерческую тайну. Физические и электронные носители закрытой информации маркируются по установленным правилам.
• Составление списка администраторов, в компетенцию которых входит разграничение доступа к информации, связанной с коммерческой тайной.
• Ограничение круга сотрудников с доступом к информации, находящейся под защитой.
• Формирование общего порядка получения конфиденциальных сведений.
• Исполнение требований сохранности коммерческой тайны при разработке проектов, реализации решений, тестировании новой продукции, производстве изделий, реализации товаров, рекламе.
• Обеспечение сохранности данных при проведении деловых переговоров, внутренних совещаний, подписании контрактов, использовании технических средств по работе с информацией (запись, обработка, хранение, передача данных).
• Обеспечение правового взаимодействия с представителями государственных структур, уполномоченных на проведение контрольных проверок.
• Использование превентивных мер: наличие внутреннего и внешнего пропускного пункта, поста охраны.
• Обучение специалистов, имеющих дело с коммерческой тайной, правилами информационной безопасности.

Важная часть юридического оформления защиты коммерческой тайны – трудовые соглашения с сотрудниками. В текст соглашения рекомендуют включать перечень мер по обеспечению безопасности данных, которые могут стать известны сотруднику во время выполнения обязанностей, а также меры ответственности. При халатном отношении сотрудника к защите данных или преднамеренном вредительстве соглашение станет юридической базой для привлечения нарушителя к ответственности и возмещения убытков.

Ответственность работника за разглашение сведений, составляющих коммерческую тайну, допускается прописывается в дополнительном соглашении или отдельным пунктом в трудовом договоре.

Для обеспечения сохранности стратегических сведений в документ включают:

• запрет на распространение финансовой и секретной информации, которая станет известна сотруднику во время исполнения обязанностей;
• запрет на передачу стратегических данных третьим лицам без резолюции руководителя;
• запрет на применение конфиденциальных данных компании при выполнении работ, которые могут нанести урон интересам фирмы.
• обязанность сотрудника своевременно извещать ответственных о попытке третьих лиц получить информацию, находящуюся под защитой;
• обязанность сотрудника немедленно уведомлять должностных лиц о потере или недостаче носителей секретных данных, пропуска, печати, которые могут стать причиной утечки конфиденциальной информации;
• обязанность сотрудника при увольнении сдать должностному лицу все носители с конфиденциальной информацией, которыми сотрудник пользовался для выполнения обязанностей: документы, чертежи, диски, флешки, фото- и видеоматериалы, распечатки.

Договор о неразглашении информации, относящейся к коммерческой тайне, которая стала известна сотруднику в период работы, заключается и при увольнении. Это обеспечит страховку на случай, если уволенный сотрудник решит передавать конфиденциальные ведения третьим лицам или использовать в последующей работе.

Административно-организационные меры защиты коммерческой тайны

Меры административно-организационного обеспечения сохранности коммерческой тайны включают два важных блока: наличие структурного подразделения, выполняющего роль службы информационной безопасности, и наличие пунктов пропуска и постов охраны на объектах предприятия, особо нуждающихся в защите.

Служба охраны отвечает за контроль посещений: оформление пропусков, фиксацию времени пребывания на территории организации.

Полномочия службы информационной безопасности распространяются на установление порядка рассекречивания и уничтожения информации, которая находилась под защитой. ИБ-подразделение контролирует публикуемую информацию, обеспечивает техническими средствами защиты офисные помещения и оборудование для работы с информацией, формирует систему защиты электронных носителей информации и набор технических средств контроля пользовательских рабочих станций, принимает превентивные меры против несанкционированного доступа к закрытым сведениям.

Порядок обращения с конфиденциальными данными может стать основой политики безопасности для DLP-системы. «СёрчИнформ КИБ» содержит 250 готовых политик безопасности для организаций из разных сфер, в которых учтены особенности работы каждой компании.

Важную роль в обеспечении защиты коммерческой тайны отводится кадровой службе. При участии ИБ-специалистов специалисты по работе с персоналом проводят инструктаж по соблюдению мер безопасности при обращении со сведениями, которые являются коммерческой тайной. HR-служба также создает условия для систематического совершенствования навыков персонала в сфере защиты данных, проверяет работников, подозреваемых в краже или несанкционированном разглашении коммерческой тайны, проводит разъяснительные беседы с сотрудниками, которые увольняются.

Социально-психологические меры защиты коммерческой тайны

Организационные и правовые меры повышения безопасности сведений, составляющих коммерческую тайну, дополняются мерами социально-психологического характера. Работа с персоналом ведется в двух направлениях:

1. Квалифицированная оценка соискателей при приеме на работу. Подбор и назначение претендентов на должности в соответствии с профессиональными и моральными качествами.
2. Материальное поощрение сотрудников, которые последовательно соблюдают регламент работы с конфиденциальной информацией.

Грамотный подбор кадров и своевременная мотивация персонала обеспечивают до 80% гарантий успешной защиты коммерческой тайны.

Технические средства защиты коммерческой тайны

В условиях «цифровизации» экономика, когда бизнес-процессы переводят в электронный формат, надежная защита коммерческой тайны невозможна без технических и программных средств обеспечения информационной безопасности. Например, DLP-система защищает бизнес от неправомерного использования коммерчески значимой информацию по нескольким направлениям:

• контролирует все информационные потоки и маршруты движения документов в компании;
• исследует содержимое корпоративной переписки и отправлений;
• оповещает о нарушениях политик безопасности;
• помогает расследовать инциденты и предупредить утечку ценных сведений.

Технические средства защиты коммерческой тайны играют важную роль в организации системы безопасности компании. Однако полноценная защита конфиденциальных данных и успешное развитие бизнеса невозможны без полного комплекса мер технического и нетехнического характера.

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Источник

Как защитить коммерческую тайну

Ни для кого не секрет

Для начала разберемся, что такое коммерческая тайна и чем она отличается от информации, содержащей коммерческую тайну. Коммерческая тайна — режим конфиденциальности информации, который позволяет владельцу при определенных условиях увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить другую коммерческую выгоду. Итак, коммерческая тайна — режим. Информация, составляющая коммерческую тайну, — это сведения, которые имеют действительную или потенциальную коммерческую ценность и пока не известны третьим лицам (например, о результатах интеллектуальной деятельности в научно-технической сфере или о способах осуществления профессиональной деятельности). Какие права есть у обладателя информации, составляющей коммерческую тайну, и что никак нельзя к ней отнести, рассказывает Владимир Карпачев, эксперт по информационной безопасности «БДО Юникон».

Тайна за пятью печатями

Чтобы сохранить конфиденциальность информации, составляющей коммерческую тайну, нужно знать, что это за информация и сколько ее в вашей компании. Проведите «инвентаризацию» и составьте список. Так и вы, и сотрудники будете понимать, какую информацию нельзя разглашать. Для оценки информационных ресурсов лучше всего создать комиссию из наиболее квалифицированных и осведомленных работников. Также помните, что отраслевые законы и нормативные правовые акты устанавливают, какие сведения могут быть отнесены к коммерческой тайне, а какие нет. Например, в силу ФЗ «О бухгалтерском учете» режим коммерческой тайны не может быть установлен в отношении бухгалтерской отчетности. Эксперт по информационной безопасности «БДО Юникон» Владимир Карпачев также рассказывает, что делать дальше и как ограничить доступ к информации, составляющей коммерческую тайну.

По следам и хлебным крошкам

Сотрудники не всегда выдают секреты компании намеренно. Иногда они могут сделать это невольно, просто отправившись на переговоры. Сразу несколько фирм, специализирующихся на так называемых альтернативных данных, пристально следят за частными бизнес-джетами, а потом предоставляют результаты своей работы инвесторам. По тому, в каком аэропорту приземлился бизнес-джет той или иной компании, инвесторы научились прогнозировать будущие слияния и поглощения. Есть и свидетельства того, что данные о перемещениях самолетов дают возможность раньше всех узнать о важных для рынка новостях, утверждает Bloomberg. Например, в апреле 2019 года специализирующаяся на биржевой аналитике фирма сообщила своим клиентам, что бизнес-джет Gulfstream V, числящийся за хьюстонской компанией Occidental Petroleum, был замечен в аэропорту Омахи. Появилось предположение, что топ-менеджеры Occidental обсуждают с инвестиционной компанией Berkshire Hathaway, принадлежащей Баффетту, возможность получения финансовой поддержки. Два дня спустя сам Баффетт заявил о намерении инвестировать в Occidental $10 млрд.

Работник под прикрытием

А как вообще происходит утечка важной информации из компаний? Основных пути два — сотрудники или хакеры. Да, сотрудники могут разгласить информацию случайно, по незнанию. А могут действовать намеренно и даже по заказу. Конкуренты могут подкупить, шантажировать сотрудника или внедрить в компанию своего человека, чтобы выведать ее планы компании, стратегию развития, кредитную нагрузку, новые разработки, список поставщиков и условия работы с ними. Вот простой пример: cлужба безопасности завода по производству хлеба контролировала рабочую переписку нового менеджера по работе с торговыми сетями. Информацией о состоянии дел в компании он делился в том числе с какими-то адресатами вне организации. Более пристальный контроль показал, что этот менеджер «засланный казачок» и специально устроился на работу, чтобы получить доступ к 1С и информации о сотрудничестве с контрагентами. Как могут действовать недобросовестные конкуренты, рассказывает Иван Бируля, директор по безопасности компании «СёрчИнформ».

Когда читать чужие письма не стыдно

Сотрудники часто «сливают» конкурентам коммерческую тайну по почте. По закону работодатель не имеет права контролировать личную переписку своих сотрудников, хотя очень хочет. Такое желание вполне объяснимо: работодатель оплачивает труд сотрудника, предоставляет ему рабочее место, компьютер и корпоративную электронную почту не для того, чтобы тот использовал все это в личных целях. Иван Бойцов, руководитель платформы Mail.ru для бизнеса, сравнивает подобную ситуацию с воровством: работник «ворует» не только деньги, потраченные на оплату его труда, но и другие ресурсы компании, например почтовый трафик. И закон предусматривает для работодателя возможность защитить свои интересы правовым путем. Бойцов рассказывает, в каких случаях работодатель может читать переписку сотрудника.

Утечка устранена

Сотрудник может использовать для кражи данных не только почту, но и камеру мобильного телефона. Это первыми поняли банки. Если раньше они просто запрещали сотрудникам копировать данные из внутренних систем, то теперь в контрактах многих крупных организаций, включая Сбербанк, ВТБ, «ФК Открытие», прописан запрет фотографировать экраны компьютеров на мобильные телефоны. По мнению Владимира Журавлева, директора департамента информационной безопасности «ФК Открытие», на основе сфотографированных клиентских данных можно изготовить поддельные документы и использовать в мошеннических целях (например, снять деньги со счета клиента). А замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин добавляет, что злоумышленники даже пробивают данные клиентов, размещая заказы на информацию в даркнете. Как банки борются с недобросовестностью сотрудников, помогают ли такие драконовские меры защиты коммерческой тайны и законны ли они, выяснили журналисты РБК.

Что «разболтает» принтер

Настоящими промышленными шпионами в цифровую эпоху могут стать даже обычные принтеры. Они соединены с локальными сетями, жесткими дисками компьютеров, хранилищами данных мобильных телефонов и становятся отличными «точками входа» для несанкционированного проникновения в хранилища данных компаний, рассказывает Андрей Антонов, ведущий менеджер по бизнес-решениям Epson.

Чтобы свести риски к минимуму, стоит выбирать решения, позволяющие зашифровать все сетевые коммуникации с помощью функции IPSec (IP Security — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP), защитить данные с помощью функции PIN-кода или организации доступа по персональной идентификационной карте. На практике это выглядит так: принтер или МФУ не печатает документ, пока на экране не будет введен определенный пароль. Андрей Антонов объясняет, что это не единственный способ превратить обычный принтер в шпиона. Например, все может быть еще проще и банальнее: документы, которые сотрудники распечатали и забыли забрать, часто попадают в руки к мошенникам.

Чужой среди своих

Еще большую угрозу для компании, чем рядовые сотрудники, представляют топ-менеджеры и системные администраторы. Они часто имеют доступ к учетным записям с привилегированными правами — аккаунтам локальных администраторов и суперадминистраторов, записям аварийного доступа. По данным исследования InfoWatch, контроль за этими типами учетных записей во многих компаниях не налажен вовсе или происходит в ручном режиме. Убедившись в отсутствии должного контроля за информационными активами компании, такие пользователи могут найти лазейку для получения личной выгоды. Исследование InfoWatch рассказывает, как теряются секретные данные, а в виджете собраны статистика и примеры того, как привилегированные пользователи используют секреты компании в личных интересах. Так, управляющая одним из отделений Россельхозбанка в Краснодарском крае незаконно оформляла кредитные договоры, используя персональные данные ничего не подозревающих граждан. Женщина обманула 22 человека, получив 9,8 млн руб. Суд приговорил ее к 3,5 года заключения. Кстати, утечки по вине привилегированных пользователей происходят в России почти вдвое чаще, чем в мире.

Это наше ноу-хау

Сотрудники чаще всего воруют бизнес-секреты, которые нельзя делать публичными. Чтобы защитить такие секреты, предусмотрен специальный тип интеллектуальной собственности — секрет производства (ноу-хау). Руководство предприятия может внедрить в отношении ноу-хау режим коммерческой тайны всего за пару дней. Есть как минимум четыре причины сделать это. Ноу-хау снижает риски человеческого фактора, увеличивает стоимость компании, помогает оптимизировать налоги и может выступать источником дохода. Александр Язовский, управляющий партнер юридической фирмы Patent.Lab, и Карен Мусаелян, старший партнер Patent.Lab, дают рекомендации, как превратить конфиденциальные сведения в ноу-хау и привлечь работника к ответственности за их разглашение.

На чьей стороне закон

Одно из первых дел о взыскании убытков с сотрудника в связи с разглашением коммерческой тайны еще в 2016 году рассмотрел Санкт-Петербургский городской суд. Тогда компания Spirax Sarco (продавец пароконденсатного оборудования) обратилась с иском к бывшему работнику, который выложил на своем сайте чертежи оборудования, содержавшие ноу-хау работодателя. Тем не менее добиться возмещения убытков не удалось: одной из причин отказа стало то, что чертежи изначально не содержали грифа «Коммерческая тайна». Кроме того, суд не увидел идентичности между чертежами Spirax Sarco, приведенными в исковых документах, и чертежами на сайте ответчика (что усугублялось опубликованием похожих чертежей сразу несколькими компаниями). С тех пор суды рассмотрели массу дел о разглашении коммерческой тайны. «РБК Pro» изучил, чем закончились самые свежие из них. Прежде чем отстаивать секреты своей компании в суде, оцените собственные шансы на победу.

С этим не поспоришь

Только 9% работодателей в России идут в суд разбираться с виновниками утечек. Почему так мало? Судиться долго, дорого и сложно. По мнению Сергея Ожегова, генерального директора компании «СёрчИнформ», проще тихо уволить сотрудника, а то и вовсе позволить ему уйти «по собственному». Но если вы решились добиваться компенсации через суд, для начала убедитесь, что все данные защищены. Соберите доказательства и только потом готовьте иск. Ожегов объясняет, как выиграть дело о разглашении коммерческой тайны, и подробно разбирает, каков порядок защиты данных, как грамотно выстроить процедуру разбирательства, как оценить, тянет ли произошедшее на разбирательство по статье о разглашении тайны. Например, если сотрудник скопировал документы с грифом на флешку, это будет считаться нарушением политики безопасности компании. Работодатель сможет наказать его самостоятельно, но в суд идти будет бессмысленно.

Воришки в сети

Реже, но в больших масштабах, чем сотрудники, воруют хакеры. Согласно Juniper Research, в ближайшие пять лет киберпреступность отберет у мирового бизнеса более $8 трлн. Например, суммарный ущерб самой дорогой в истории киберэпидемии NotPetya составил более $10 млрд. Компании игнорируют базовые основы безопасности и сами создают благоприятные условия для киберпреступников. Поэтому эксперты Microsoft составили список из шести пунктов, которые руководители организаций и ИТ-специалисты часто упускают из виду в процессе выстраивания своей ИТ-инфраструктуры. Среди них — соблюдают ли сотрудники цифровую гигиену, знают ли о фишинге, как часто проводится проверка безопасности конфигурации информационных систем. Эксперты рассказывают, что должен делать руководитель, чтобы не беспокоиться о возможной краже секретов фирмы.

От теории к практике

С киберпреступниками медлить не стоит. Есть простые меры, которые лучше реализовать прямо сейчас. Перестаньте экономить на антивирусе (этим особенно грешат малые и средние предприятия). Регулярно обновляйте его для всех компьютеров в организации. Программы для этого лучше выбирайте лицензионные. Они стоят в пределах 1–2 тыс. руб. в год на одно рабочее место, но это лучшая из возможных защит от наиболее распространенных вредоносных программ, уверяет Максим Солнцев, председатель правления СДМ-банка. Не держите чувствительные данные на сервере, который имеет выход в интернет. Перенесите их в защищенную внутреннюю сеть компании. Если вы храните данные в дата-центре либо работаете с облачными решениями, постарайтесь удостовериться, что провайдер обеспечивает защиту информации. Полный комплекс мер по защите от киберворов — в материале.

Источник