Угрозы утечки конфиденциальной информации со стороны безответственных сотрудников организации
Владение информацией о противнике — один из наиболее действенных способов конкурентной борьбы на рынке. Необходимость решения проблемы утечки конфиденциальной информации связана с выживанием и успешным ведением бизнеса компании.
Ущерб от раскрытия конфиденциальной информации может выражаться в потере конкурентных преимуществ, упущенной коммерческой выгоде, санкциях со стороны регулирующих органов, административной и уголовной ответственности за раскрытие персональных данных, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, планируемых кадровых перестановках и т. п.
Несмотря на то, что несанкционированное раскрытие информации является во многих случаях административно и уголовно наказуемым деянием, в условиях, когда информационное законодательство РФ еще полностью не сформировано, а процессы законотворчества сильно отстают от уровня развития информационных технологий, возникают существенные трудности в обеспечении юридической защиты интересов собственников конфиденциальной информации. Однако приемлемое решение всегда существует, и поиск этого решения должен осуществляться в рамках стандартной схемы «объекты - угрозы - контрмеры».
Опираясь на опыт защиты информации в коммерческих организациях и положения действующего законодательства, можно выделить следующие основные категории конфиденциальной информации:
-сведения, составляющие коммерческую тайну организации;
-персональные данные сотрудников организации;
-сведения, составляющие конфиденциальную информацию третьих лиц (партнеров, клиентов, подрядчиков, контрагентов);
-любые другие сведения, разглашение и/или неправомерное использование которых может нанести ущерб интересам организации.
К открытой информации относятся, например, сведения:
-содержащиеся в сообщениях и отчетах, официально опубликованных компанией в соответствии с действующим российским законодательством;
-содержащиеся в официальных пресс-релизах, а также рекламных сообщениях компании;
-опубликованные в средствах массовой информации по инициативе третьих лиц и с разрешения руководства компании;
-любая информация, не попадающая в категории, определяемые перечнем сведений ограниченного распространения, принятым в организации, и не являющаяся конфиденциальной по законодательству РФ.
В коммерческой организации наиболее остро стоит вопрос о защите коммерческой тайны, однако не менее важными являются сведения, составляющие конфиденциальную информацию третьих лиц, к которым могут относиться коммерческая тайна третьих лиц, персональные данные, служебная тайна и т. п., включая государственную тайну.
Важной категорией конфиденциальной информации являются персональные данные сотрудников организации. Например, в США законодательство предусматривает строгое наказание за раскрытие персональных данных граждан. В нашей стране вопросы защиты персональных данных пока недостаточно хорошо проработаны как на законодательном, так и на технологическом уровне. Однако правовая база все же была заложена в законе РФ «Об информации, информатизации и защите информации».
Помимо определения состава конфиденциальных сведений, информационные ресурсы организации нуждаются также в категорировании по уровню конфиденциальности. Это позволяет ввести дифференцированный подход к реализации защитных мер. Знания о составе информационных ресурсов организации и соответствующих уровнях конфиденциальности формализуются в виде единого «Реестра информационных ресурсов организации».
Каналы утечки информации
Количество потенциальных каналов утечки информации достаточно велико. Наиболее распространенные из них относятся к категории неумышленного раскрытия информации сотрудниками по причине неосведомленности или недисциплинированности. Отсутствие представлений о правилах работы с конфиденциальными документами, неумение определить, какие документы являются конфиденциальными, и просто обычные разговоры между сотрудниками — все это может привести к рассекречиванию данных.
Умышленный «слив» информации встречается значительно реже, зато осуществляется целенаправленно и с наиболее опасными последствиями для организации.
Хорошим примером утечки конфиденциальной информации из организации из-за технической неосведомленности сотрудников может служить ситуация, возникающая вокруг повсеместно используемого текстового редактора MS Word. По данным британской компании Workshare, текстовый редактор Word компании Microsoft сам по себе представляет огромную опасность. Речь идет о заложенной в нем возможности извлечения информации, вносившейся в документ по ходу его подготовки, правки и согласования, пусть даже удаленной впоследствии. Внимательный читатель, недобросовестный конкурент или мошенник могут, если не предпринять определенные меры, почерпнуть немало интересного о том, как, к примеру, варьировались по мере подготовки финального текста контракта его ключевые положения.
Система мер по защите
С учетом множественности категорий и каналов утечки информации становится очевидно, что в большинстве случаев проблему утечки нельзя решить каким-либо простым способом, тем более избавиться от нее окончательно. Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес-процессов организации. Это означает, что требуется система организационно-технических мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без значительного снижения эффективности бизнес-процессов. Без такой системы права на юридическую защиту интересов организации как собственника информации нереализуемы. Система предотвращения утечки конфиденциальной информации включает в себя три основных составляющих: работу с персоналом, политику безопасности, сервисы безопасности.
Работа с персоналом
Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен «свести на нет» любые самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом — главный механизм защиты. Ключевые принципы и правила управления персоналом с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17799:2000 и сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.
Основные требования
При работе с персоналом необходимо соблюдать следующие требования безопасности:
- Ответственность за информационную безопасность должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, за ресурсы, процессы и мероприятия по обеспечению безопасности.
- Должны проводиться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы, удостоверяющие личность. Для критичных должностей должна проверяться также кредитная история кандидата.
- Подписание соглашения о неразглашении конфиденциальной информации кандидатом должно быть обязательным условием приема на работу.
- Требования информационной безопасности, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность за нарушение безопасности.
Повышение осведомленности
Важную роль для обеспечения информационной безопасности играет осведомленность пользователей в вопросах безопасности и правилах безопасного поведения. Согласно ст. 139 Гражданского кодекса РФ, обладатель конфиденциальной информации имеет право на правовую защиту от незаконного ее использования только при условии, что он принимает надлежащие меры к соблюдению ее конфиденциальности, поэтому правила политики безопасности и ответственность, предусмотренная за их нарушение, должны быть документированы и доведены до сведения всех сотрудников под роспись. Контроль осведомленности должен осуществляться на регулярной основе. Основную роль здесь играют HR-менеджеры организации.
Необходимо проводить обучение и контролировать знания пользователей по следующим вопросам:
правила политики безопасности организации;
правила выбора, смены и использования паролей;
правила получения доступа к ресурсам информационной системы;
правила обращения с конфиденциальной информацией;
процедуры информирования об инцидентах, уязвимостях, ошибках и сбоях программного обеспечения и др.
Меры пресечения
В организации должен быть разработан соответствующий дисциплинарный процесс, проводимый в отношении нарушителей безопасности и предусматривающий расследование, ликвидацию последствий инцидентов и адекватные меры воздействия.
При определении мер пресечения следует ориентироваться на положения действующего законодательства. Отношения между работником и работодателем и ответственность за нарушение информационной безопасности организации регулируются прежде всего Трудовым кодексом РФ. В определенных случаях возможно применение положений Кодекса об административных правонарушениях и Уголовного кодекса.
Так, на основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности организации, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы за неоднократное грубое нарушение дисциплины. Согласно ст. 238 Трудового кодекса РФ все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный компании в результате нарушения ими правил политики безопасности. Сотрудник компании несет материальную ответственность как за прямой действительный ущерб, непосредственно причиненный им работодателю, так и за ущерб, возникший у работодателя в результате возмещения им ущерба иным лицам. Сотрудники несут материальную ответственность в пределах своего среднего месячного заработка (ст. 241 Трудового кодекса РФ). Согласно ст. 243 Трудового кодекса РФ, за умышленное причинение ущерба, а также за разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами, сотрудники компании несут материальную ответственность в полном размере причиненного ущерба.
Роль HR-менеджеров
Роль менеджеров по персоналу в обеспечении информационной безопасности организации весьма значима, хотя и не является определяющей. HR-менеджеры должны принимать участие в разработке и внедрении политик безопасности, организации обучения пользователей, контроле осведомленности и расследовании нарушений. HR-менеджеры в организации также выполняют функции владельцев персональных данных сотрудников компании и несут административную ответственность за разглашение или незаконное распространение этих данных.
Политика безопасности и процедуры внутрифирменной коммуникации
Соответствующая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования. Она включает в себя определение уровней доступа к информации, механизмов контроля и функциональных ролей.
В организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности (например, открытая информация, конфиденциальная, строго конфиденциальная), правила маркирования конфиденциальных документов и правила обращения с конфиденциальной информацией, включая режимы хранения, способы обращения, ограничения по использованию и передаче третьей стороне и между подразделениями организации.
Должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, в том числе авторизация и аудит доступа.
Ответственность за информационную безопасность организации несет ее руководитель, который делегирует эту ответственность одному из менеджеров. Обычно эти функции выполняет директор по информационной безопасности (CISO) или директор по безопасности (CSO), иногда директор информационной службы (CIO).
Решение о предоставлении доступа к конкретным информационным ресурсам должны принимать владельцы этих ресурсов, назначаемые из числа руководителей подразделений, формирующих и использующих эти ресурсы. Кроме того, вопросы предоставления доступа конкретным сотрудникам должны быть согласованы с их непосредственными руководителями. Многие правила политики безопасности понятны сотрудникам и выполняются ими в большинстве случаев на интуитивном уровне. Остальные требуют обучения.
Жизнь по правилам
Как показывает практика, значительного ограничения утечки информации из организации можно добиться путем применения шести основных правил. Основная задача состоит в том, чтобы добиться интуитивного применения этих правил всеми сотрудниками организации.
Правило №1. Маркирование документов.
Документы (бумажные и электронные), содержащие конфиденциальную информацию, подлежат обязательному маркированию путем проставления грифа конфиденциальности в правом верхнем углу титульного листа.
Маркирование конфиденциальных документов осуществляется ответственным за их подготовку или ответственным за работу с данными документами. Маркирование сообщений электронной почты осуществляется пользователем, выполняющим отправку (распространение) данных сообщений.
В документах, содержащих конфиденциальную информацию и передаваемых третьей стороне, на обороте титульного листа в обязательном порядке должно быть «заявление о конфиденциальности».
Правило №2. Закрытое обсуждение.
Не следует обсуждать конфиденциальную информацию с посторонними лицами (или в их присутствии), с друзьями, родственниками, сотрудниками организации, не допущенными к работе с данной информацией, и т. п. Также не следует обсуждать конфиденциальную информацию в общественных местах в присутствии посторонних (не допущенных к данной информации) лиц, включая столовую и места для курения, расположенные на территории компании.
Правило №3. Шифрование информации при хранении и передаче.
Для обеспечения надлежащего уровня защиты шифрование должно применяться как при хранении, так и при передаче конфиденциальной информации. Электронный обмен конфиденциальной информацией с внешними респондентами должен вестись в зашифрованном виде, при наличии соответствующих технических возможностей.
Правило №4. Использование соглашения о конфиденциальности.
Передача сведений, содержащих конфиденциальную информацию, третьей стороне должна осуществляться только после заключения с этой стороной «Соглашения о конфиденциальности».
Правило №5. Ограничение доступа к информации.
Не хранить электронные документы, содержащие конфиденциальную информацию, в общедоступных местах, включая общие папки файловых серверов, Web, почтовые папки и т. п.
Правило №6. Информирование.
Требуется не только самим овладеть методами защиты информации, но также следить за их выполнением другими сотрудниками и вести разъяснительную работу. Обо всех фактах утечки информации следует незамедлительно сообщать своему непосредственному руководителю.
Сервисы безопасности
Сервисы безопасности используются для ограничения доступа к информации, протоколирования фактов осуществления доступа и контроля информационных потоков. Они позволяют обеспечить предупреждение, предотвращение, обнаружение и реагирование на инциденты, связанные с утечкой информации.
К числу сервисов безопасности относят аутентификацию, управление доступом, шифрование, фильтрацию контента и аудита безопасности.
Аутентификация и управление доступом
Традиционные схемы аутентификации и управления доступом во многих случаях уже не обеспечивают адекватного уровня защиты. В дополнение к ним целесообразно использовать специализированные сервисы управления правами доступа к электронным документам, которые уже начинают появляться на рынке.
Примерами соответствующих коммерческих продуктов являются Microsoft RMS (впервые появившийся в Windows Server 2003) и программно-аппаратный комплекс Sentinel RMS, производимый компанией SafeNet.
Фильтрация контента
Использование RMS не решает всех проблем. Например, эта технология не защищает от умышленного «слива» информации по электронной почте, что на практике встречается довольно часто, и заставляет руководство организации вводить правила по фильтрации исходящих из корпоративной сети сообщений по их содержанию. Анализ содержания сообщений по ключевым словам может быть достаточно эффективным, однако требует проведения серьезной работы по «тюнингу» системы фильтрации контента, так как ни одна из подобных систем не работает «прямо из коробки». Даже хорошо отлаженная система фильтрации требует постоянного внимания со стороны администратора безопасности.
Аудит безопасности
Последним рубежом в комплексной системе предотвращения утечки информации из организации является подсистема аудита информационной безопасности, которая позволяет оперативно обнаруживать и реагировать на нарушения безопасности, а также производить расследование инцидентов, связанных с утечкой информации. Она должна охватывать все виды событий, связанных с получением доступа к конфиденциальным данным и выполнением действий, способных привести к их несанкционированному раскрытию, включая изменение прав доступа, копирование и вывод на печать.
СУИБ
Успешная реализация намеченных подходов к предотвращению утечки информации крайне затруднительна в том случае, если в организации отсутствует действующая система управления информационной безопасностью (СУИБ), которая характеризуется прежде всего наличием работающей политики безопасности и организационной структуры, выстроенной в соответствии с этой политикой, а также наличием процессов, процедур и механизмов контроля.
- ПРЕСТУПЛЕНИЯ ПРОТИВ СОБСТВЕННОСТИ (Ответственность за преступления против собственности)
- Психологические особенности обыска
- The Guest Information Management: The New Intangible Asset Value In The Experiential Hospitality
- Informational Basis of Hospitality Industry (Tourism is now developing very rapidly)
- Соотношение между понятиями «преступления в сфере экономики», «преступления в сфере экономической деятельности», «экономические преступления»
- Понятие и основные критерии классификации управленческих решений
- Современное производство кинофильмов, сериалов, телепередач
- Арбиртажный регламент ЮНСИТРАЛ
- О компании ADVANTA
- Основные экономические показатели ресторана
- Современные концепции теории организации (Теория организации и организационное поведение)
- Моральная мотивация труда: инструменты и их практическое применение