Противодействие утечке конфиденциальной информации со стороны сотрудников организации
Владение информацией о противнике - один из наиболее действенных способов конкурентной борьбы на рынке. Необходимость решения проблемы утечки конфиденциальной информации связана с выживанием и успешным ведением бизнеса компании. Ущерб от раскрытия конфиденциальной информации может выражаться в потере конкурентных преимуществ, упущенной коммерческой выгоде, санкциях со стороны регулирующих органов, административной и уголовной ответственности за раскрытие персональных данных, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, планируемых кадровых перестановках.
Несмотря на то что несанкционированное раскрытие информации является во многих случаях административно и уголовно наказуемым деянием, в условиях, когда информационное законодательство РФ еще полностью не сформировано, а процессы законотворчества сильно отстают от уровня развития информационных технологий, возникают существенные трудности в обеспечении юридической защиты интересов собственников конфиденциальной информации. Однако приемлемое решение всегда существует, и поиск этого решения должен осуществляться в рамках стандартной схемы «объекты - угрозы - контрмеры».
Состав сведений с грифом «конфиденциальная информация» варьируется в зависимости от предприятия и должен приводиться в «Перечне сведений ограниченного распространения», который утверждается руководителем организации. Информация, не попавшая в данный перечень, считается открытой. В коммерческой организации наиболее остро стоит вопрос о защите коммерческой тайны, однако не менее важными являются сведения, составляющие конфиденциальную информацию третьих лиц, к которым могут относиться коммерческая тайна третьих лиц, персональные данные, служебная тайна и т.п., включая государственную тайну. Важной категорией конфиденциальной информации являются персональные данные сотрудников организации. В нашей стране вопросы защиты персональных данных пока недостаточно хорошо проработаны как на законодательном, так и на технологическом уровне. Однако правовая база все же была заложена в законе РФ «Об информации, информатизации и защите информации».
Количество потенциальных каналов утечки информации достаточно велико. Наиболее распространенные из них относятся к категории неумышленного раскрытия информации сотрудниками по причине неосведомленности или недисциплинированности. Отсутствие представлений о правилах работы с конфиденциальными документами, неумение определить, какие документы являются конфиденциальными, и просто обычные разговоры между сотрудниками — все это может привести к рассекречиванию данных.
Умышленный «слив» информации встречается значительно реже, зато осуществляется целенаправленно и с наиболее опасными последствиями для организации.
Однако очень немногие организации добавили соответствующие правила «зачистки» в существующие регламенты работы с документами. С учетом множественности категорий и каналов утечки информации становится очевидно, что в большинстве случаев проблему утечки нельзя решить каким-либо простым способом, тем более избавиться от нее окончательно. Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес-процессов организации. Это означает, что требуется система организационно-технических мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без значительного снижения эффективности бизнес-процессов. Без такой системы права на юридическую защиту интересов организации как собственника информации нереализуемы.
Система предотвращения утечки конфиденциальной информации включает в себя три основных составляющих: работу с персоналом, политику безопасности, сервисы безопасности. Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен «свести на нет» любые самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом — главный механизм защиты.
В организации должен быть разработан соответствующий дисциплинарный процесс, проводимый в отношении нарушителей безопасности и предусматривающий расследование, ликвидацию последствий инцидентов и адекватные меры воздействия.
При определении мер пресечения следует ориентироваться на положения действующего законодательства. Отношения между работником и работодателем и ответственность за нарушение информационной безопасности организации регулируются прежде всего Трудовым кодексом РФ. В определенных случаях возможно применение положений Кодекса об административных правонарушениях и Уголовного кодекса. Роль менеджеров по персоналу в обеспечении информационной безопасности организации весьма значима, хотя и не является определяющей. HR-менеджеры должны принимать участие в разработке и внедрении политик безопасности, организации обучения пользователей, контроле осведомленности и расследовании нарушений. HR-менджеры в организации также выполняют функции владельцев персональных данных сотрудников компании и несут административную ответственность за разглашение или незаконное распространение этих данных.
Сервисы безопасности используются для ограничения доступа к информации, протоколирования фактов осуществления доступа и контроля информационных потоков. Они позволяют обеспечить предупреждение, предотвращение, обнаружение и реагирование на инциденты, связанные с утечкой информации. К числу сервисов безопасности относят аутентификацию, управление доступом, шифрование, фильтрацию контента и аудита безопасности. Шифрование — один из наиболее надежных способов обеспечения конфиденциальности информации. Криптографические методы давно и успешно развиваются во всем мире, поэтому в настоящее время механизмы шифрования являются сильным звеном в любой системе обеспечения информационной безопасности.
В основе системы защиты информации лежат внутренние нормативные документы, устанавливающие ответственность и определяющие правила по защите информации, обязательные для исполнения всеми сотрудниками организации. К ним относятся: положение о коммерческой тайне; руководство по защите конфиденциальной информации; правила работы пользователей в корпоративной сети; инструкции по использованию сервисов безопасности; регламент предоставления доступа к информационным ресурсам.
Хорошей практикой является разработка и внедрение нескольких небольших документов вместо одного объемного, который все равно никто не сможет дочитать до конца и тем более запомнить все, что там написано. Можно рекомендовать следующий состав документов, ориентированных на всех сотрудников организации:
- правила работы пользователей в корпоративной сети;
- правила выбора, хранения и использования паролей;
- инструкция по защите от компьютерных вирусов;
- правила использования мобильных устройств для работы в корпоративной сети;
- правила работы в сети Internet.
Состав документов может варьироваться. При определении состава и содержания документов можно опираться на требования ISO/IEC 17799:2000.
- Each of us wants to know their future
- Each of us has a special day
- Организация защиты персонала организации от вербовки
- Управление многоквартирным домом, осуществляемое товариществом собственников жилья либо жилищным кооперативом
- Особенности снятия с регистрационного учета бывшего собственника недвижимого имущества, приобретенного на торгах в деле о несостоятельности (банкротстве)
- How would you describe Jimmie Langton? Dwell upon his looks and typical behavior. What were the circumstances of Jimmie and Julia’s acquaintance?
- Методы повышения активности и вовлеченности сотрудников в условиях применения SFM
- Конституционное права граждан в жилищных правоотношениях
- Современный этап развития науки о менеджменте в России
- Деятельность адвоката в гражданском судопроизводстве
- Формы воспитания детей, оставшихся без попечения родителей
- Графический дизайн