Техническая защита информации составляющей коммерческую тайну

             Лаборатория информационной безопасности

Техническая защита коммерческой тайны

Коммерческая тайна и проблема её защиты — очень распространённая тема дискуссий в современном бурно развивающемся IT-сообществе . Как показывает статистика по данным на 2013 год, 20% с отрудников коммерческих структур сами признаются в желании продать родную компанию, а дела по разглашению КТ раскрываются лишь на 7%, тогда как грамотность IT-директоров России отнюдь не назовёшь приемлемой. Одновременно, ценность информации, составляющей коммерческую тайну, всё растёт и растёт.

В предыдущей статье Защита информации от утечек или снова о коммерческой тайне и бизнесе мы рассмотрели организационные вопросы защиты ценной коммерческой или просто подлежащей защите информации (ПДн, банковская тайна и т.д.) от утечек. В текущей статье рассмотрим технические аспекты, которые могут ощутимо помочь практически любой современной IT- компании, которой, что называется, есть, что скрывать.

Речь пойдёт о таких технических и интеллектуальных новшествах для защиты информационных ценностей, как DLP, SIEM, IPS / IDS — системы, а также их эффективность и аспекты применимости.

Про инсайдинг (утечки информации через инсайдеров) особенно активно начали говорить только в последние годы, но представители многих ИБ-фирм (и СИБ, и Код безопасности, и Softline, и StoneSoft) говорят всем голосом одно: скорее, не инсайдеров или утечек стало больше, а просто компании лучше увидели реальную картину – прозрели. А почему прозрели и кто? Вот как раз те, кто начал потихоньку внедрять системы класса DLP / IPS / SIEM, позволяющие выявить то, что уходит из фирмы. Даже не бороться – просто посмотреть. В режиме не защиты от утечек, а в режиме анализа, дабы потом смотреть – кто, что и куда отправляет. Внедрить можно куда угодно. Интересно было бы куда-нибудь в бухгалтерию: реальная статистика показывает, что практически все (а некоторые безопасники говорят, что абсолютно) бухгалтерии отправляют информацию за границу периметра. Что б она оттуда не утекала – это просто феномен, а не фирма. А бухгалтерия — это вещь, которая конкурентам и не только более, чем интересна.

Далее. Все рассуждения о защите коммерческой тайны начались с того, что в современном информационном (относительно) обществе специфика такова, что человек, работающий по должности с коммерческой тайной, практически всегда имеет доступ в Интернет, часто — и в демилитаризованные зоны сети, где особых мер защиты уже нет (логика инсайдера в таком случае в объяснениях не нуждается). Что происходит в итоге. Ограничивать доступ на сетевом уровне через файерволы нельзя, ибо не сможет работать (а говоря про Интернет, так вообще труба: закрыть HTTP, значит, закрыть интернет, а закрыть интернет…). Даже говоря о сетевом уровне, следует учитывать, что стандартные пути защиты через файерволы и ограничения на прокси уже не выдерживают никакой критики: есть анонимайзеры, дающие доступ ко всем мессенджерам, да ещё и через SSL, а можно и просто VPN-подключение создать (если есть права, правда) и таким образом просто открыть VPN-доступ к внутренней сети кому угодно (совсем «здорово»). В итоге, информация может абсолютно свободно утекать. Любые DLP в стандартном режиме работы свободно обходятся, способов можно привести много: фото экрана компьютера, скриншоты на внутреннем терминальном сервере с отправкой по почте, архивирование с AES-ым шифрованием и много-много другого.

Источник: http://inforsec.ru/technical-security/network-security/100-kt-3

ЧОУ ДПО СЗЦКЗИ

Организация и технологии технической защиты информации, составляющей коммерческую тайну (ТЗКТ)

Ближайший курс: 23.03.2020 — 27.03.2020

    Декабрь Март Июнь Октябрь Повышение квалификации

Организация и технологии технической защиты информации, составляющей коммерческую тайну (ТЗКТ)

Даты проведения курсов:

В курсе изучаются вопросы нормативно-правового обеспечения защиты конфиденциальной информации, включающей в свой состав коммерческую, служебную и профессиональную тайны, интеллектуальную собственность организаций. В предлагаемом курсе отрабатываются и закрепляются положения по разработке организационно-распорядительных документов организации, категорирования информации и классификации информационных систем, отработке модели угроз безопасности конфиденциальной информации и модели нарушителя, выявления уязвимостей автоматизированных систем, лицензирования деятельности в области защиты конфиденциальной информации, применения средств защиты конфиденциальной информации, в том числе и криптографическим методом, подготовке объектов информатизации к аттестации, ответственности за нарушения требований законодательства. Результатом освоения программы является получение Удостоверения о повышении квалификации, удовлетворяющее требованиям контрольно-надзорных органов.

Категория слушателей:

Руководящий состав и специалисты, работающие в области технической защиты конфиденциальной информации.

По требованию заказчика курс может быть адаптирован под требования банковской сферы, сетевых операторов, органов власти, органов здравохранения, труда и социальной сферы, фондов.

ТРЕБОВАНИЯ К КВАЛИФИКАЦИИ ПОСТУПАЮЩЕГО НА ОБУЧЕНИЕ:

Высшее или среднее профессиональное образование

Источник: http://www.szckzi.ru/portfolio/86

Третий шаг к защите коммерческой тайны

Сегодня мы поговорим о такой мере по охране конфиденциальности информации как ограничение доступа к коммерческой тайне. Ограничение доступа достигается путем установления:

  1. порядка обращения с информацией, составляющей коммерческую тайну;
  2. контроля над соблюдением этого порядка.

Порядок обращения устанавливается, как правило, путем разработки и внедрения в деятельность предприятия соответствующих руководящих документов. Такие документы могут называться «Положение», «Инструкция», «Руководство» и т.п.

Порядок обращения с информацией устанавливает ограничения, которые накладываются на деятельность (действия) работников в сферах деятельности предприятия, где циркулирует коммерческая тайна.

Руководящие документы разрабатываются по различным направлениям ограничений. Таким как, например, ограничение доступа (Инструкция о порядке доступа), ограничение автоматизированной обработки информации (Правила обработки информации, составляющей коммерческую тайну, на средствах автоматизации) и т.п.

Ограничения могут выражаться не только в форме запретов на действия или бездействия (например, запрет копирования информации на неучтенные носители информации, запрет на передачу незакодированных сообщений по электронным средствам связи, и пр.), но и в форме условий. Например: обработка информации с применением средств автоматизации разрешена, только в случае, если монитор расположен таким образом, что другие работники не видят отображаемую информацию; доступ к определенным сведениям защищен паролями, и пр.

Порядок обращения затрагивает различные сферы деятельности организации и касается:

  • организации совещаний, на которых обсуждаются коммерческие вопросы (подготовка помещения, участников, материалов, определение порядка ведения протокола, очередности рассмотрения вопросов вынесенных на обсуждение, а также круга лиц привлекаемых к обсуждению каждого вопроса);
  • учета документов на различных носителях информации (бумажных, электронных – съемных и машинных);
  • условий хранения носителей информации, составляющей коммерческую тайну (помещения, сейфы, ключи);
  • требований к обработке коммерческой информации с использованием средств вычислительной техники (системы разграничения доступа, антивирусная защита);
  • организации работ по защите информации при ее обработке на средствах вычислительной техники (СВТ) и вхождении в сторонние информационные системы, в том числе «Интернет»;
  • приема — передачи носителей информации между должностными лицами (отпуск, болезнь, смена руководителя организации);
  • организации и ведения специального делопроизводства (учет журнальный, карточный, автоматизированный);
  • передачи и предоставления информации, составляющей коммерческую тайну (способы, объемы, условия);
  • организации проведения служебных расследований (создание комиссии, фиксация установленных фактов, способы и средства добывания информации, результаты работы комиссии).
Читайте так же:  Сформулируйте основания дисциплинарной ответственности

Порядок обращения с информацией, составляющей коммерческую тайну, включает в себя также организационно-распорядительные мероприятия, в том числе:

При установлении порядка обращения с информацией очень важно установить порядок обмена ею как внутри организации, так и с контрагентами. Важно знать, что документированная информация, в том числе и заключающая в себе коммерческую тайну, сформированная в процессе деятельности предприятия за счет собственных средств, а также приобретенная в собственность установленными законодательством Российской Федерации способами, является собственностью предприятия, и включается в состав его имущества в соответствии с гражданским законодательством Российской Федерации. Передача указанной выше информации иным пользователям, если иное не установлено законодательством, должна регулироваться договорными отношениями, предусматривающими обязательства и ответственность сторон, перечень конфиденциальных сведений, оплату предоставленной информации и компенсацию за нарушение договорных обязательств. Таким образом, в рамках порядка обращения с информацией, необходимо разработать договоры, включающие положения о конфиденциальности по информации, составляющей коммерческую тайну предприятия.

В настоящий момент большинство предприятий используют автоматизированную обработку информации на СВТ. Поэтому желательно разработать также частную Инструкцию по защите коммерческой информации, обрабатываемой на СВТ, и предотвращению несанкционированного доступа к ней, в которой отражаются особенности использования оргтехники для обработки информации. Данная инструкция должна определять:

  • систему доступа сотрудников к информационным ресурсам и сведениям, составляющим коммерческую тайну;
  • порядок разграничения доступа к работе на СВТ и регистрации пользователей; порядок изменения состава и конфигурации технических и программных средств;
  • обязанности пользователей по подготовке и изданию конфиденциальных документов при работе на СВТ;
  • обязанности должностных лиц по поддержанию работоспособности СВТ и средств защиты информации;
  • порядок взаимодействия с информационными сетями общего пользования (Интернет) и пользования электронной почтой;
  • порядок работы с базами данных, содержащими конфиденциальную информацию;
  • порядок антивирусного обеспечения;
  • организацию и технологию делопроизводства конфиденциальных документов;
  • порядок контроля выполнения мероприятий по обеспечению защиты информации, обрабатываемой на СВТ;
  • ответственность за разглашение коммерческой тайны.

Наличие в организации установленного порядка обращения с информацией становится заметно по признакам защищенности в различных областях жизнедеятельности предприятия. Например, появляются затруднения с проникновением в определенные зоны и территории организации, бирки на сейфах, предупреждения о том, что ведется видео наблюдение, специальные наклейки, на средствах связи, информирующие о запрете ведения переговоров на конфиденциальные темы и многое другое, что уже само по себе дисциплинирует не только персонал предприятия, но и посетителей. Введение ограничений на пользование информацией первоначально может мешать обычному функционированию организации, в определенной степени ограничивать права и законные интересы граждан. Но если порядок обращения с информацией правильно разработан и установлен в соответствии с вышеизложенными требованиями, то он в кратчайшие сроки настолько интегрируется в повседневную деятельность организации, что становится неотъемлемой ее частью и надежным способом защиты коммерческой тайны.

Не менее важной составной частью охраны конфиденциальности информации является установление контроля над соблюдением порядка обращения с информацией, составляющей коммерческую тайну.

По закону собственник информации должен контролировать эффективность защиты своей собственности. Помимо наличия контроля как такового, законодатель других требований к собственнику информации не предъявляет. Это означает, что все требования к контролю устанавливаются на усмотрение самого собственника информации.

Однако давайте немного остановимся на организации контроля и разберем основные присущие ему особенности.

Контроль в обязательном порядке должен быть нормативно установлен и регламентирован в рамках организации путем издания локального акта (Приказа, Распоряжения, Инструкции и т.п.).

В зависимости от структуры организации, объема и вида носителей информации, определяются способы и виды контроля.

Исходя из понятия контроля как проверки соответствия предъявляемым требованиям, необходимо выбрать наиболее приемлемый вид и способ проверки.

Проверки могут быть плановыми, т.е. предусмотрены планом работы на конкретный период времени и внеплановые, те которые проводятся только в силу каких-либо чрезвычайных обстоятельств.

Если говорить о плановости проверок, то необходимо сказать и об их периодичности. В зависимости от объемов информации проверки рекомендуется проводить по календарному принципу – ежемесячно, ежеквартально, ежегодно.

Способы проверки также могут варьироваться в зависимости от конкретно сложившейся ситуации. Рассмотрим на примере проверки наличия носителей информации, составляющей коммерческую тайну. Проверить наличие носителей:

  • «реально» – лично сверить наличие носителей с учетными данными «потрогать»;
  • «документально» – запросить учетные данные в виде формализованного документа «отчет».
  • «выборочно» — убедиться в наличии одного или нескольких видов носителей или в наличии ряда конкретных выбранных в произвольном порядке носителей;
  • «тотально» — проверить наличие всех носителей без исключения.

Самое важное при создании системы контроля в организации – это необходимость помнить о том, что контроль направлен на выявление несоответствий установленным требованиям, нарушений установленного порядка обращения с информацией, составляющей коммерческую тайну, выявление возможных каналов утечки информации и разработки способов их перекрытия, поддержание на высоком уровне бдительности персонала. Тогда выбранные инструменты в частности и вся система в целом будут по-настоящему действенны и эффективны.

Начальник экспертного отдела Центра «Эксперт»
Д.С. Котельников

Примечание: продолжение данной публикации можно найти в материале «Четвертый шаг к защите коммерческой тайны».

Источник: http://centr.expert/mnenie/tretiy-shag-k-zashite-kommercheskoi-tayni

Защита информации, составляющей коммерческую тайну

Защита коммерческой тайны
с помощью DLP-системы

К оммерческие компании генерируют массивы информации, которая представляет ценность как для самой компании, так и для конкурентов. Критически важные для бизнеса сведения включают входить технологии, ноу-хау, изобретения и разработки, исследования рынка, стратегические планы и другие виды данных, являющиеся самостоятельным активом. Интерес для конкурирующих фирм представляют также сведения о клиентах и контрагентах.

Государство признает информацию активом и вовлекает в гражданско-правовой оборот, устанавливая определенные меры защиты, эквивалентные мерам защиты материальных активов, Специфика методов и инструментов защиты информации, составляющей коммерческую тайну, связана с тем, что данные отражаются в электронном виде и на бумажных носителях.

Определение понятий

Следует различать два неравнозначных понятия. «Коммерческая тайна» и «информация, составляющая коммерческую тайну» одновременно фигурируют в законодательстве, но подразумеваются немного различные явления.

Термин «коммерческая тайна» относится к режиму конфиденциальности или к системе защитных организационных мероприятий, которые устанавливаются в компании, чтобы защитить информацию от преступных посягательств или утечек. Режим конфиденциальности помогает компании удержать позиции на рынке, сохранить конкурентные преимущества, избежать расходов на восстановление репутации, пошатнувшейся вследствие разглашения или утечки чувствительных сведений.

Читайте так же:  Актуальность дебиторской задолженности

«Информация, составляющая коммерческую тайну» – это объем сведений, которые компания определяет произвольно. Сведения могут относится к научной, производственной, маркетинговой деятельности. Реальная или потенциальная коммерческая ценность подобных сведений увеличивается благодаря недоступности для третьих лиц. В отношении сведений устанавливают режим коммерческой тайны.

Массивы информации, составляющей коммерческую тайну, разделяются на четыре группы:

  1. Cведения научно-технического характера: изобретения, ноу-хау, патенты; рационализаторские предложения; методы повышения эффективности производства; все, что относится к работе компьютерных сетей, стандарты безопасности, программное обеспечение, пароли.
  2. Сведения технологического и производственного характера: чертежи; модели; документация на оборудование; рецепты производства; методики; описание бизнес-процессов; производственные и маркетинговые планы, стратегии, бизнес-планы; инвестиционные предложения.
  3. Сведения финансового характера, не являющиеся информацией общего доступа: данные управленческого и финансового учета; отчеты; сведения о себестоимости продукции; расчеты денежного потока; механизмы формирования цен; прогнозируемые налоговые отчисления.
  4. Сведения бизнес-характера: данные о поставщиках и подрядчиках; информация о клиентах; планы продаж; различные стратегии; консалтинговые рекомендации; данные анализа рынков и аналогичные сведения.

Градация степени конфиденциальности для каждой группы включает:

  • высшая степень секретности, доступная только топ-менеджменту организации;
  • строго конфиденциальная информация;
  • конфиденциальная информация;
  • сведения ограниченного доступа.

Ранжирование по уровню конфиденциальности помогает лучше организовать систему доступа и позволяет минимизировать риски утечки. Например, данные наивысшей ценности будут недоступны широкому кругу сотрудников компании, а значит, меньше подвержены риску намеренной или случайной утечки.

Чтобы воспользоваться законными возможностями по защите коммерческой тайны, на первом этапе компания должна определить перечень сведений, на которые распространяется режим коммерческой тайны. И в дальнейшем обоснованно требовать от сотрудников с контрагентами выполнения мер по защите данных и привлекать к ответственности за разглашение информации, составляющей коммерческую тайну.

Параллельно с определением сведений необходимо установить режим конфиденциальности. Это означает – разработать и внедрить систему административно-организационных и технических мер, которые помогут предотвратить умышленное или неумышленное разглашение или распространение сведений.

Правовое регулирование режима коммерческой тайны в сфере гражданского и уголовного законодательства. Правоотношения регулируются Гражданским кодексом, в котором тайна определяется в качестве объекта защиты. Отдельные нормы, касающиеся соблюдения режима коммерческой тайны, содержаться в Трудовом кодексе. Уголовный кодекс вводит ответственность за умышленное разглашение информации. Таким образом, компания вправе самостоятельно определять, какие именно данные являются информацией, составляющей коммерческую тайну, а ее защита гарантируется мерами государственного принуждения.

Угрозы

Прежде чем разрабатывать систему защитных мер, чтобы сохранить конфиденциальность информации, и вводить в компании режим коммерческой тайны, необходимо определить наиболее вероятные угрозы безопасности. Угрозы подразделяются на внутренние и внешние.

Внешние угрозы включают три группы субъектов, которые могут быть заинтересованы в получении сведений, составляющих коммерческую тайну:

  • непосредственные конкуренты, которые действуют на тех же рынках, или компании, которые планируют выйти на те же рынки и осуществляют различные сценарии подрыва положения компании;
  • субъекты, заинтересованные в переделе долей участия в предприятии, рейдерские группировки, миноритарные акционеры и иные лица, которые могут использовать полученные сведения в борьбе за активы;
  • субъекты, которые посягают на активы, принадлежащие компании: недвижимость, земельные участки, акции и доли. Получение данных об активах облегчит процесс.

Внутренние угрозы прежде всего связаны с персоналом компании, включая и топ-менеджеров. Сотрудники с доступом к корпоративным информационным системам могут присвоить сведения, составляющие коммерческую тайну, чтобы продать, использовать в собственных коммерческих проектах или распространить среди неопределенно широкого круга лиц с целью причинить вред компании.

Система защиты должна определить все возможные угрозы и включать механизмы борьбы с конкретными опасностями.

Возможности и умения «СёрчИнформ КИБ» можно бесплатно проверить в течение 30-дневного теста.

Способы получения информации, составляющей коммерческую тайну

Признание информации коммерческой тайной в большинстве случаев не означает конфиденциальность в строгом смысле слова, потому что доступ к данным есть у сотрудников, разработчиков, клиентов и контрагентов. Сведения, которые во внутренних документах компании классифицируются как тайна, могут оказаться в открытом доступе из-за действий контрагентов. Двоякая суть информации, которая признается конфиденциальной, порождает не только незаконные, но и законные способы получить данные.

  • Перехват или организация утечек информации из телекоммуникационных сетей.
  • Прямое хищение документов.
  • Подкуп сотрудников.

Борьбу с подобными способами собрать данные осложняет их легитимность. Возможные средства противодействия – инструктаж сотрудников, тщательные проверки потенциальных контрагентов, проведение переговоров вне месторасположения компании.

Меры защиты

Основной мерой защиты информации, составляющей коммерческую тайну, станет установление режима коммерческой тайны. Основные мероприятия носят административно-организационный характер. Например, одним из основополагающих элементов системы является трудовой договор, который предусматривает ответственность сотрудников за нарушение режима конфиденциальности. С учетом того, что внешние угрозы проявляются в форме хищения из компьютерных сетей компании информации, составляющей коммерческую тайну, вместе с административными необходимо внедрять и технические меры, гарантирующие полноту защиты.

Административно-организационные меры

В первую очередь административно-организационные меры нацелены на информирование сотрудников о том, какие сведения относятся к коммерческой тайне, и какие обязанности по неразглашению возлагаются на персонал.

Еще одна цель – убедиться, что компания выполнила все требования закона и проявила предусмотрительность. Это усилит позиции в случае возможного судебного процесса против похитителя коммерческой тайны или заказчика похищения, получившего выгоду от преступного деяния.

Административно-организационные меры включают

Технические меры

Среди технических мер защиты информации, составляющей коммерческую тайну, в первую очередь рассматривают программы, позволяющие полностью защитить информационный периметр от утечек, несанкционированного копирования или передачи данных. К таким средствам относятся DLP-системы и SIEM-системы.

Системы класса DLP настраивают таким образом, чтобы максимально исключить хищение информации внутренними пользователями. Системы класса SIEM выявляют угрозы и идентифицируют различные инциденты информационной безопасности, позволяя осуществлять полный риск-менеджмент и обеспечивать защиту от проникновений через внешний периметр защиты.

К техническим мерам защиты можно отнести все способы кодирования и шифрования данных, установление запрета на копирование, контроль компьютеров сотрудников и мониторинг использования учетных записей.

С настройкой и управлением DLP-системой справится выделенная служба информационной безопасности. Для компаний, в которых ИБ-службы пока нет, есть альтернативное решение – услуга ИБ-аутсорсинга, которая включает установку и обслуживание специального ПО.

Правовые способы защиты коммерческой тайны

Если все утечка произошла и распространения конфиденциальная информация избежать не удалось, возникает необходимость привлечь к ответственности виновника и возместить ущерб. Это возможно только в судебном порядке. В суде также может быть оспорено увольнение по основанию «разглашение коммерческой тайны».

В российской судебной практике немало примеров, когда суд встает на сторону компании. Например, Московский городской суд признал законным увольнение сотрудницы, которая передала по электронной почте данные об объемах поставок. Ее уволили на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса Российской Федерации – разглашение охраняемой законом тайны. А в другом случае Московский городской суд восстановил нарушителя режима коммерческой тайны на работе, так как компания-ответчик не предоставила трудовой договор с истцом, правила внутреннего трудового распорядка содержали, по мнению суда, нечеткие формулировки, а положение о коммерческой тайне или другие регламентирующие документы и вовсе отсутствовали в компании.

Читайте так же:  Военный билет бесплатно

Подобные примеры подчеркивают необходимость внимательно относиться к регламентации вопросов, связанных с установлением режима коммерческой тайны. Тогда компании под силу не только защитить важные коммерческие сведения, но и возместить финансовые потери в случае инцидента, который может привести к оттоку клиентов, потере позиций в конкурентной среде и подрыве репутации.

Источник: http://searchinform.ru/informatsionnaya-bezopasnost/zaschita-informatsii/zaschita-informatsii-sostavlyayuschej-kommercheskuyu-tajnu/

Защита коммерческой тайны

Защита коммерческой тайны
с помощью DLP-системы

П онятие «коммерческая тайна» в самом общем виде означает конфиденциальные сведения особой тактической или потенциальной важности. Раскрытие информации, составляющей коммерческую тайну, приводит к финансовым убыткам и может стать причиной банкротства. В обстоятельствах, когда угрозой становятся не только действия конкурентов, но и хакерские атаки, и вирусные эпидемии, защита коммерческой тайны – главное условие успешного ведения бизнеса.

Цели защиты коммерческой тайны

Комплекс мер по защите коммерческой информации решает одновременно несколько задач:

  1. Помогает завоевать позиции в конкурентной среде, удержать, долю рынка и поток клиентов.
  2. Обеспечивает защиту важных стратегических сведений на протяжении определенного времени.
  3. Служит для ревизии потенциальных каналов утечки данных.
  4. Предупреждает возможные риски, связанные с ротацией кадров.

Условия успешной защиты

Для эффективного функционирования системы защиты конфиденциальной коммерческой информации необходимо соблюсти несколько условий.

В первую очередь внутри компании должно быть достигнуто согласие по поводу финансовых, производственных, операционных и коммерческих аспектов деятельности. Обеспечение информационной безопасности включает также взаимодействие между всеми структурными подразделениями компании. Основой успешной защиты служит независимая оценка сведений и объектов, нуждающихся в защите, плюс разработка и согласование мер защиты еще до внедрения.

Дополнительным усилением защиты послужит личная материальная ответственность руководителей структурных подразделений и сотрудников, выполняющих работы «закрытого уровня». Санкции за несоблюдение условий секретности и обеспечения сохранности сведений, составляющих коммерческую тайну, лучше закрепить документально.

Способы защиты коммерческой информации

Прежде чем внедрять средства защиты чувствительных дынных, важно конкретизировать объект и предмет защиты.

В качестве объекта защиты в данном случае выступает информация, которая связана с функционированием компании и представляет финансовый и стратегический интерес для конкурентов, или – другими словами – коммерческая тайна.

Под предметом защиты понимаются носители информации, на которых фиксируются сведения, составляющие коммерческую тайну, включая бумажные и электронные документы; внешние накопители информации; другие устройства хранения и передачи данных.

Качественная защита коммерческой тайны подразумевает комплекс мер, объединяющий несколько направлений. Без комплексного подхода возможно нарушение конфиденциальности стратегических сведений коммерческого характера, в том числе:

  • кража;
  • хищение;
  • утечка;
  • фальсификация;
  • несанкционированное распространение сведений, представляющих интерес для компаний-конкурентов.

Для обеспечения конфиденциальности финансовой информации и защиты коммерческой тайны компании сочетают технические средства с мерами правовой защиты, организационными и социально-психологическими инструментами.

Юридические меры защиты коммерческой тайны

Меры юридического характера означают принятие внутренних нормативных документов и построения работы в соответствии с законодательством о защите информации, составляющей коммерческую ценность.

Правовые основы защиты коммерческой тайны закладываются в уставах, приказах, правилах внутреннего трудового распорядка, контрактах и трудовых договорах. В коллективном договоре или трудовом соглашении отдельным пунктом оговаривается обязанность наемного сотрудника соблюдать правила сохранности сведений, которые стали известны по службе.

Фактически правовая защита информации реализуется в устоявшихся формах, выбор которых обусловлен сферой деятельности компании. Например:

  • Создание специализированного делопроизводства с особым способом хранения, передачи и доступа к документации, составляющей коммерческую тайну. Физические и электронные носители закрытой информации маркируются по установленным правилам.
  • Составление списка администраторов, в компетенцию которых входит разграничение доступа к информации, связанной с коммерческой тайной.
  • Ограничение круга сотрудников с доступом к информации, находящейся под защитой.
  • Формирование общего порядка получения конфиденциальных сведений.
  • Исполнение требований сохранности коммерческой тайны при разработке проектов, реализации решений, тестировании новой продукции, производстве изделий, реализации товаров, рекламе.
  • Обеспечение сохранности данных при проведении деловых переговоров, внутренних совещаний, подписании контрактов, использовании технических средств по работе с информацией (запись, обработка, хранение, передача данных).
  • Обеспечение правового взаимодействия с представителями государственных структур, уполномоченных на проведение контрольных проверок.
  • Использование превентивных мер: наличие внутреннего и внешнего пропускного пункта, поста охраны.
  • Обучение специалистов, имеющих дело с коммерческой тайной, правилами информационной безопасности.

Важная часть юридического оформления защиты коммерческой тайны – трудовые соглашения с сотрудниками. В текст соглашения рекомендуют включать перечень мер по обеспечению безопасности данных, которые могут стать известны сотруднику во время выполнения обязанностей, а также меры ответственности. При халатном отношении сотрудника к защите данных или преднамеренном вредительстве соглашение станет юридической базой для привлечения нарушителя к ответственности и возмещения убытков.

Ответственность работника за разглашение сведений, составляющих коммерческую тайну, допускается прописывается в дополнительном соглашении или отдельным пунктом в трудовом договоре.

Для обеспечения сохранности стратегических сведений в документ включают:

  • запрет на распространение финансовой и секретной информации, которая станет известна сотруднику во время исполнения обязанностей;
  • запрет на передачу стратегических данных третьим лицам без резолюции руководителя;
  • запрет на применение конфиденциальных данных компании при выполнении работ, которые могут нанести урон интересам фирмы.
  • обязанность сотрудника своевременно извещать ответственных о попытке третьих лиц получить информацию, находящуюся под защитой;
  • обязанность сотрудника немедленно уведомлять должностных лиц о потере или недостаче носителей секретных данных, пропуска, печати, которые могут стать причиной утечки конфиденциальной информации;
  • обязанность сотрудника при увольнении сдать должностному лицу все носители с конфиденциальной информацией, которыми сотрудник пользовался для выполнения обязанностей: документы, чертежи, диски, флешки, фото- и видеоматериалы, распечатки.

Договор о неразглашении информации, относящейся к коммерческой тайне, которая стала известна сотруднику в период работы, заключается и при увольнении. Это обеспечит страховку на случай, если уволенный сотрудник решит передавать конфиденциальные ведения третьим лицам или использовать в последующей работе.

Административно-организационные меры защиты коммерческой тайны

Меры административно-организационного обеспечения сохранности коммерческой тайны включают два важных блока: наличие структурного подразделения, выполняющего роль службы информационной безопасности, и наличие пунктов пропуска и постов охраны на объектах предприятия, особо нуждающихся в защите.

Служба охраны отвечает за контроль посещений: оформление пропусков, фиксацию времени пребывания на территории организации.

Читайте так же:  Бланк на неоплачиваемый отпуск

Полномочия службы информационной безопасности распространяются на установление порядка рассекречивания и уничтожения информации, которая находилась под защитой. ИБ-подразделение контролирует публикуемую информацию, обеспечивает техническими средствами защиты офисные помещения и оборудование для работы с информацией, формирует систему защиты электронных носителей информации и набор технических средств контроля пользовательских рабочих станций, принимает превентивные меры против несанкционированного доступа к закрытым сведениям.

Порядок обращения с конфиденциальными данными может стать основой политики безопасности для DLP-системы. «СёрчИнформ КИБ» содержит 250 готовых политик безопасности для организаций из разных сфер, в которых учтены особенности работы каждой компании.

Важную роль в обеспечении защиты коммерческой тайны отводится кадровой службе. При участии ИБ-специалистов специалисты по работе с персоналом проводят инструктаж по соблюдению мер безопасности при обращении со сведениями, которые являются коммерческой тайной. HR-служба также создает условия для систематического совершенствования навыков персонала в сфере защиты данных, проверяет работников, подозреваемых в краже или несанкционированном разглашении коммерческой тайны, проводит разъяснительные беседы с сотрудниками, которые увольняются.

Социально-психологические меры защиты коммерческой тайны

Видео (кликните для воспроизведения).

Организационные и правовые меры повышения безопасности сведений, составляющих коммерческую тайну, дополняются мерами социально-психологического характера. Работа с персоналом ведется в двух направлениях:

  1. Квалифицированная оценка соискателей при приеме на работу. Подбор и назначение претендентов на должности в соответствии с профессиональными и моральными качествами.
  2. Материальное поощрение сотрудников, которые последовательно соблюдают регламент работы с конфиденциальной информацией.

Грамотный подбор кадров и своевременная мотивация персонала обеспечивают до 80% гарантий успешной защиты коммерческой тайны.

Технические средства защиты коммерческой тайны

В условиях «цифровизации» экономика, когда бизнес-процессы переводят в электронный формат, надежная защита коммерческой тайны невозможна без технических и программных средств обеспечения информационной безопасности. Например, DLP-система защищает бизнес от неправомерного использования коммерчески значимой информацию по нескольким направлениям:

  • контролирует все информационные потоки и маршруты движения документов в компании;
  • исследует содержимое корпоративной переписки и отправлений;
  • оповещает о нарушениях политик безопасности;
  • помогает расследовать инциденты и предупредить утечку ценных сведений.

Технические средства защиты коммерческой тайны играют важную роль в организации системы безопасности компании. Однако полноценная защита конфиденциальных данных и успешное развитие бизнеса невозможны без полного комплекса мер технического и нетехнического характера.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-kommercheskoj-tajny/

Защита информации, составляющей коммерческую тайну

Бизнес строится с использованием секретов производства, которые имеют действительную или потенциальную коммерческую ценность. В силу неизвестности их третьим лицам, обладатель ноу-хау будет вынужден выполнить все положения российского законодательства для того, чтобы получить правовую защиту для своих секретов. Техническая защита секрета производства (как часть общей защиты), требует специальных познаний и является лицензируемым видом деятельности.

Наиболее сложным при реализации требований законодательства является введение в организации режима коммерческой тайны, без которого невозможно сохранение секретов производства.

Игнорирование требований нормативных правовых актов по вопросам коммерческой тайны сделает невозможной правовую защиту секретов производства и привлечение к ответственности виновных в их разглашении. Недостаточность режимных мер по охране секретов производства неизбежно приведет к утрате таких секретов. Утрата наиболее важных секретов производства обычно наносит существенный ущерб.

Эксперты «Информзащиты» помогут внедрить режим коммерческой тайны в компании или внести необходимые изменения в существующий режим.

  • проведут обследование существующего состояние обеспечения защиты;
  • разработают рекомендации по принятию дополнительных правовых, организационных и технических мер, направленных на повышение эффективности системы защиты;
  • доработают (переработают) внутренние нормативные документы, разработают недостающие нормативные документы, создадут типовые договоры, регулирующие отношения, связанные с обращением с ИКТ, с работниками и контрагентами;
  • спроектируют системы защиты конфиденциальной информации с учетом разработанной модели угроз нарушения ИБ ИКТ;
  • поставят и внедрят необходимые средства защиты;
  • обучат все категории работников, имеющих доступ к конфиденциальной информации.

Законно установленный режим коммерческой тайны позволит минимизировать риски, связанные с утратой (разглашением) секретов производства (ноу-хау). Секреты производства получат как фактическую, так и правовую защиту. Лиц, разгласивших секреты производства, можно будет привлечь к различным видам юридической ответственности, включая уголовную.

Правильная организация работ по технической защите секретов производства, в том числе получение лицензий ФСТЭК России и ФСБ России на указанные виды деятельности, минимизирует риски привлечения организации и (или) ее руководителя к административной или уголовной ответственности за осуществление указанных работ без лицензии.

Организация сможет в гражданско-правовом порядке предъявить иск к нарушителю исключительного права на секрет производства и потребовать возместить убытки, причиненные нарушением этого исключительного права.

Источник: http://infosec.ru/uslugi/zashchita-informatsii-sostavlyayushchey-kommercheskuyu-taynu/

Техническая защита информации составляющей коммерческую тайну

Перечень сведений, составляющих коммерческую тайну ОАО «Связной-Урал» вводится в действие приказом директора. Перечень может включать в себя следующие сведения:

Таблица 1 — Перечень сведений, составляющих коммерческую тайну ОАО «Связной Урал»

Сведения о производственном оборудовании, его стоимости, выпускаемой продукции, запасах сырья и материалов

Сведения о применяемых методах управления предприятия; о подготовке, принятии и исполнении отдельных решений руководства предприятия по производственным, научно-техническим, коммерческим, организационным и иным вопросам

Сведения о планах и объемах расширения производства различных видов продукции и их технико- экономических обоснованиях; о планах инвестиций, закупок и продаж продукции предприятия

Сведения о вопросах, рассматриваемых на совещаниях и заседаниях органов управления предприятия

Сведения о применяемых предприятием методах изучения рынка; о направлениях маркетинговых исследований и результатах изучения рынка об эффективности коммерческой деятельности предприятия; о регионах сбыта готовой продукции предприятия; о заинтересованности в приобретении продукции предприятия

Сведения о целях, задачах и тактике переговоров с деловыми партнерами; о подготовке и результатах проведения переговоров с деловыми партнерами предприятия

Содержание коммерческих контрактов и договоров, заключенных предприятием

Сведения о методах учета, уровне цен на выпускаемую продукцию предприятия в торгах или аукционах

Торги и аукционы

Сведения о подготовке и участии предприятия в торгах или аукционах

Наука и техника

Конструкционные характеристики создаваемых изделий предприятия и параметры разрабатываемых технологических процессов (размеры, объемы, конфигурация, процентное содержание компонентов, температура, давление, время); сведения о проводимых экспериментах и оборудовании, на котором они проводились; о материалах, из которых изготовлены отдельные детали; об конструкторско-технологических и художественно-технических решениях, дающих экономический эффект при выпуске изделия предприятия; о целях, задачах, программах научных исследований предприятия; о программном и компьютерном обеспечении

Сведения об особенностях используемых и разрабатываемых технологий предприятия и специфике их применения

Сведения об организации защиты коммерческой тайны, сведения, составляющие коммерческую тайну предприятий-партнеров и переданные на доверительной основе предприятию, а также сведения о репутации персонала предприятия (собственная оценка отдела кадров или службы без- опасности предприятия)

Сведения о внутренних и зарубежных заказчиках, подрядчиках, поставщиках, покупателях и других партнерах, деловых отношений предприятия, а также о его конкурентах, которые не содержатся в открытых источниках

Читайте так же:  Где проверить долги по кредитам бесплатно

Обеспечение сохранности такой информации требует от сотрудников ОАО «Связной-Урал» соблюдения следующих условий:

Таблица 2 — Условия соблюдения коммерческой тайны сотрудниками ОАО «Связной Урал»

Определение сведений, составляющих коммерческую тайну предприятия

Обеспечение порядка их защиты

Обеспечение строго контроля за допуском персонала к секретным документам

Точное установление того, кто конкретно из руководства или служащих предприятия организует и контролирует секретное делопроизводство, наделение их соответствующими полномочиями

Разработка инструкции (памятки) по работе с секретными документами, ознакомление с нею соответствующих работников организации

Контроль за принятием соответствующими служащими письменных обязательств о сохранении коммерческой тайны предприятия

Введение системы материального и иного стимулирования служащих предприятия, имеющих доступ к её секретам;

Внедрение в повседневную практику механизмов и технологий защиты коммерческой тайны организации

Личный контроль со стороны руководителя организации, внутренней службы безопасности и секретного делопроизводства.

Если эти условия не будут выполнены, то у ОАО «Связной-Урал» не будет законных оснований для привлечения к ответственности работников за разглашение или передачу сведений, составляющих коммерческую тайну, так как владелец информации, составляющей коммерческую тайну, вправе потребовать в судебном порядке возмещения убытков, причинённых её разглашением или выплату компенсации в размере, установленном решением суда.

Сведения, относящиеся к коммерческой тайне в ОАО «Связной-Урал». Сведения коммерческой тайны ОАО «Связной-Урал» можно условно разделить на два крупных блока:

1. Научно — техническая (технологическая) информация;

2. Деловая информация.

Таблица 3 — Сведения о коммерческой тайне ОАО «Связной Урал»

1. Научно-техническая (технологическая) информация включает:

— методы и способы расширения торговой сети

— новые технологии, направления модернизации известных технологий, процессов и оборудования;

— программное обеспечение ПК, пароли, ключи, коды и процедуры доступа к информации;

— организация системы безопасности предприятия.

2. Деловая информация ОАО «Связной-Урал» включает:

— сведения о финансовой стороне деятельности предприятия (промежуточные финансовые отчёты, первичные бухгалтерские документы, задолженность, кредиты);

— сведения о наиболее выгодных формах использования денежных средств, ценных бумаг, акций;

— сведения о размере прибыли, себестоимости произведённой продукции;

— планы развития предприятия;

— планы и объёмы реализации продукции (планы маркетинга, данные о характере и объёме торговых операций, уровнях цен, наличии товаров);

— анализ конкурентоспособности производимой продукции, эффективность импорта и экспорта, предполагаемое время выхода на рынок;

— планы рекламной деятельности;

— списки торговых и других клиентов, представителей, посредников, конкурентов, сведения о взаимоотношениях с ними, их финансовом положении, проводимых операциях и объёмах, условиях действующих и заключаемых контрактов;

— структура и методы управления, связи внутри фирмы и вне её, распределение обязанностей и их содержание;

— кадровый состав и его формирование;

— кадровый состав и его формирование;

— сведения из деловой переписки.

На ОАО «Связной-Урал» основная цель защиты конфиденциальной информации, в том числе коммерческой тайны, состоит в том, чтобы, как говорят профессионалы, предотвратить её утечку или разглашение. Разглашение информации, составляющей коммерческую тайну, — действие или бездействие, в результате которых эта информация становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско — правовому договору.

В ряде случаев требуется защита и «чужих» коммерческих секретов, которые могут быть доверены предприятию другими лицами, организациями. Отсутствие такой защиты может лишить предприятие выгодных партнёров, клиентов.

Меры по охране конфиденциальности информации на ОАО «Связной-Урал» включают в себя:

— определение перечня информации, составляющей коммерческую тайну;

— ограничение доступа к информации, составляющей коммерческую тайну, путём установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

— учёт лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

— регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско — правовых договоров;

— нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна».

Обеспечение защиты конфиденциальной информации на ОАО «Связной-Урал» включает в себя:

— разработку инструкций по соблюдению режима конфиденциальности для лиц, допущенных к коммерческой тайне;

— ограничение доступа к носителям информации, содержащей коммерческую тайну;

— ведение делопроизводства, обеспечивающего выделение, учёт и сохранность документов, содержащих коммерческую тайну;

— использование организационных, технических и иных средств защиты коммерческой тайны;

— осуществление контроля за соблюдением установленного режима охраны коммерческой тайны.

Допуск работника ОАО «Связной-Урал» к конфиденциальной информации осуществляется с его согласия.

Допуск работника ОАО «Связной-Урал» к коммерческой тайне предусматривает:

— ознакомление работника с законодательством РФ о коммерческой тайне, предусматривающим ответственность за нарушение режима коммерческой тайны;

— принятие работником обязательств по соблюдению установленного режима коммерческой тайны;

— ознакомление работника с перечнем сведений, составляющих коммерческую тайну предприятия, к которым работник будет иметь доступ;

— установление оплаты труда работника с учётом компенсации за взятые им на себя обязательства по соблюдению режима коммерческой тайны. Размер такой компенсации устанавливается соглашением между работником и предприятием;

— создание работнику необходимых условий для соблюдения им установленного работодателем режима коммерческой тайны.

Все сотрудники ОАО «Связной-Урал» должны при поступлении на работу подписать трудовой договор или положение о неразглашении коммерческой тайны. В этих документах отражены следующие обязательства работника:

— не разглашать сведения, составляющие коммерческую тайну, которые будут доверены или станут известны при исполнении служебных обязанностей, в том числе в течение двух лет после его увольнения, если иной срок не определён трудовым договором;

— соблюдать доведённые до сведения работника требования по защите коммерческой тайны;

— не использовать сведения, составляющие коммерческую тайну, без согласия её владельца;

— не иметь никаких обязательств перед другими лицами и предприятиями.

Положение составляется в одном экземпляре и хранится в специальном личном деле работника не менее пяти лет после его увольнения. Для ограничения доступа к информации, содержащей конфиденциальные сведения, руководство ОАО «Связной-Урал» издаёт специальный приказ о введении «Перечня сведений, содержащих коммерческую тайну предприятия», мер по охране этих сведений, установлению круга лиц, имеющих доступ к этой информации, и правил работы с документами, имеющими гриф «Коммерческая тайна». Сотрудники ОАО «Связной-Урал» должны под расписку ознакомиться с приказом и приложениями к нему.

Видео (кликните для воспроизведения).

Источник: http://studbooks.net/1485151/menedzhment/organizatsiya_zaschity_kommercheskoy_tayny

Техническая защита информации составляющей коммерческую тайну
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here