logo
ответы

Коммуникационные риски, управление рисками и защита конфиденциальной информации.

Само понятие «конфиденциальная информация» варьируется в зависимости от предприятия или организации. Состав сведений, составляющих конфиденциальную информацию, должен приводиться в «Перечне сведений ограниченного распространения», который утверждается руководителем организации. Информация, не попавшая в данный перечень, считается открытой. Структура упомянутых выше сведений может быть представлена по типовой схеме.

Опираясь на существующий опыт защиты информации в коммерческих организациях и положения действующего законодательства можно выделить следующие основные категории конфиденциальной информации:

сведения, составляющие коммерческую тайну организации;

персональные данные сотрудников организации (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника);

сведения, составляющие конфиденциальную информацию третьих лиц (партнеров, клиентов, подрядчиков, контрагентов);

а также любые другие сведения, разглашение и/или неправомерное использование которых может нанести ущерб интересам организации.

К открытой информации относятся, например:

сведения, содержащиеся в сообщениях и отчетах, официально опубликованных Компанией в соответствии с действующим российским законодательством;

сведения, содержащиеся в официальных пресс-релизах, а также рекламных сообщениях Компании;

сведения, опубликованные в средствах массовой информации по инициативе третьих лиц и с разрешения руководства Компании;

а также любая информация не попадающая в категории, определяемые «Перечнем сведений ограниченного распространения», принятым в организации, и не являющаяся конфиденциальной по законодательству РФ.

В коммерческой организации наиболее остро стоит вопрос о защите коммерческой тайны, однако не менее важными являются сведения, составляющие конфиденциальную информацию третьих лиц, к которым могут относиться коммерческая тайна третьих лиц, персональные данные, служебная тайна и т.п., включая государственную тайну.

Важной категорией конфиденциальной информации являются персональные данные сотрудников организации.

Например, в США законодательство предусматривает очень серьезное наказание за раскрытие персональных данных граждан. Соответствующие вопросы отражены в Privacy Act и HIPPA. Последний определяет наказание до 10 лет лишения свободы или $200k штрафа за умышленное раскрытие персональных данных.

В нашей стране вопросы защиты персональных данных пока недостаточно хорошо проработаны как на законодательном, так и на технологическом уровне. Однако правовая база все же была заложена в законе РФ «Об информации, информатизации и защите информации» [6].

Законодательство о защите коммерческой тайны

Предметом защиты коммерческой информации являются все, свойственные предприятиям Компании особенности и детали коммерческой деятельности, деловые связи, закупка сырья и товаров, сведения о поставщиках, предполагаемой прибыли, методики установления цен, результаты маркетинговых исследований, счета, договора и т.п.

По гражданскому законодательству (ст. 139 Гражданского Кодекса РФ) обладатель технической, организационной или коммерческой информации, составляющей секрет производства, имеет правовую защиту от незаконного ее использования при условии, что:

Эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам

К этой информации нет свободного доступа на законном основании

Обладатель информации принимает надлежащие меры к соблюдению ее конфиденциальности

Отношения, возникающие между субъектами гражданского общества, связанные с отнесением информации к коммерческой тайне, передачей такой информации, и охраной ее конфиденциальности регулируются «законом о коммерческой тайне», согласно которому права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении такой информации режима коммерческой тайны, под которым понимаются «правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности» [4].

Помимо определения состава конфиденциальных сведений, информационные ресурсы организации нуждаются также в категорировании по уровню конфиденциальности. Это позволяет реализовать дифференцированный подход к реализации защитных мер. Знания о составе информационных ресурсов организации и соответствующих уровнях конфиденциальности формализуются в виде единого «Реестра информационных ресурсов организации».

Каналы утечки информации

Количество потенциальных каналов утечки информации достаточно велико. Наиболее распространенные из них относятся к категории неумышленного раскрытия информации сотрудниками, по причине неосведомленности или недисциплинированности. Это и «болтовня сотрудников», и отсутствие представлений о правилах работы с конфиденциальными документами, и неуменее определить какие документы являются конфиденциальными.

Умышленный «слив информации», встречается значительно реже, зато в данном случае информация «сливается» целенаправленно и с наиболее опасными последствиями для организации.

Пример. MS Word как срытый канал утечки информации

Хорошим примером утечки конфиденциальной информации из организации из-за технической неосведомленности сотрудников может служить ситуация возникающая вокруг повсеместно используемого текстового редактора MS Word. По данным британской компании Workshare, специализирующейся в области обеспечения защиты документов, текстовый редактор Word компании Microsoft сам по себе представляет огромную опасность. Речь идет о заложенной в нем возможности извлечения информации, вносившейся в документ по ходу его подготовки, правки и согласования, пусть даже удаленной впоследствии. Внимательный читатель, недобросовестный конкурент или мошенник могут, если не предпринять определенных мер, почерпнуть немало интересного о том, как, к примеру, варьировались по мере подготовки финального текста контракта те или иные ключевые его положения.

По данным консалтинговой компании Vanson Bourne, в целом до 31% файлов в формате Word содержат весьма «щекотливую» информацию. В некоторых компаниях дела обстоят особенно неблагополучно — до трех четвертей всех документов попадают в группу «высокого риска». Больше того — 90% компаний не имеют ни малейшего представления о том, каким именно образом уже утекает или может утекать от них закрытая и служебная информация.

Компания Microsoft выпустила специальное программное расширение для MS Word под названием Remove Hidden Data [1, 2], с помощью которого пользователь может удалить персональные данные либо скрытую информацию, которая не должна быть выявлена при просмотре документа. Однако очень немногие организации на сегодняшний день добавили соответствующие правила «зачистки» в существующие регламенты работы с документами.

Система организационно-технических мероприятий по защите конфиденциальной информации С учетом множественности категорий и каналов утечки информации, становится очевидным, что в большинстве случаев проблему утечки информации нельзя решить каким-либо простым способом, тем более избавится от нее окончательно. Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес процессов организации. Наиболее адекватный подход заключается в том, чтобы уделять данной проблеме столько внимания, сколько она того заслуживает. В данном, случае это означает необходимость создания системы организационно-технический мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без существенного снижения эффективности бизнес процессов. В отсутствии такой системы риски для бизнеса неприемлемо высоки, а права на юридическую защиту интересов организации как собственника информации нереализуемы.

Система предотвращения утечки конфиденциальной информации включает в себя три основных составляющих:

Работу с персоналом

Политику безопасности

Сервисы безопасности

Работа с персоналом

Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен свести на нет любые самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом является одним из основных механизмов защиты.

Основные принципы и правила управления персоналом с учетом требований ИБ определены в международном стандарте ISO/IEC 17799:2000 [8]. Соблюдение этих правил позволяет существенно снизить влияние человеческого фактора, избежать характерных ошибок и предотвратить утечку информации.

Основные принципы управления персоналом, выраженные в Стандарте, сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

Основные требования безопасности при работе с персоналом

При работе с персоналом необходимо соблюдать следующие основные требования безопасности:

Ответственность за ИБ должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, ответственность за ресурсы, процессы и мероприятия по обеспечению безопасности

Должны выполняться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы удостоверяющие личность. Для критичных должностей должна проверяться также кредитная история кандидата.

Подписание соглашения о неразглашении конфиденциальной информации кандидатом должно являться одним из обязательных условий приема на работу.

Требования ИБ, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность на нарушение безопасности.

Повышение осведомленности персонала

Важную роль для обеспечения ИБ играет осведомленность пользователей в вопросах безопасности и их обученность правилам безопасного поведения. Согласно ст. 139 Гражданского кодекса РФ, обладатель конфиденциальной информации имеет право на правовую защиту от незаконного ее использования только при условии, что он принимает надлежащие меры к соблюдению ее конфиденциальности, поэтому правила политики безопасности и ответственность, предусмотренная за их нарушение, должны быть документированы и доведены до сведения всех сотрудников под роспись. Контроль осведомленности должен осуществляться на регулярной основе. Основную роль здесь играют HR-менеджеры организации.

Необходимо проводить обучение и контролировать знания пользователей по следующим вопросам:

правила политики безопасности организации

правила выбора, смены и использования паролей

правила получения доступа к ресурсам информационной системы

правила обращения с конфиденциальной информацией

процедуры информирования об инцидентах, об уязвимостях, ошибках и сбоях программного обеспечения

а также другие правила и процедуры

Меры пресечения

В организации должен существовать соответствующий дисциплинарный процесс в отношении нарушителей безопасности, предусматривающий проведение расследования, ликвидации последствий инцидентов и адекватные меры воздействия.

При определении мер пресечения, следует ориентироваться на положения действующего законодательства. Отношения между работником и работодателем и соответствующая ответственность на нарушение ИБ организации регулируются, прежде всего, Трудовым кодексом РФ. В определенных случаях возможно применение положений Кодекса об административных правонарушениях и Уголовного кодекса.

Так, на основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности организации, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы за неоднократное грубое нарушение дисциплины. Согласно ст. 238 Трудового кодекса РФ все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный компании в результате нарушения ими правил политики безопасности. Сотрудник Компании несет материальную ответственность как за прямой действительный ущерб, непосредственно причиненный им работодателю, так и за ущерб, возникший у работодателя в результате возмещения им ущерба иным лицам. Сотрудники несут материальную ответственность в пределах своего среднего месячного заработка (Ст. 241 Трудового кодекса РФ), а согласно ст. 243 Трудового кодекса РФ за умышленное причинение ущерба, а также за разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами, сотрудники Компании несут материальную ответственность в полном размере причиненного ущерба.

Роль HR-менеджеров

Роль менеджеров по персоналу (HR-менеджеров) в обеспечении ИБ организации весьма значима, хотя и не является определяющей. HR-менеджеры должны принимать участие в разработке и внедрении политик безопасности, организации обучения пользователей, контроле осведомленности и расследовании нарушений. HR-менджеры в организации также выполняют функции владельцев персональных данных сотрудников компании и несут административную ответственность за разглашение или незаконное распространение этих данных.

Политика безопасности и процедуры внутрифирменной коммуникации

Надлежащая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования. Она включает в себя определение уровней доступа к информации, механизмов контроля и функциональных ролей.

В организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности (например, открытая информация, конфиденциальная, строго конфиденциальная), правила маркирования конфиденциальных документов и правила обращения с конфиденциальной информацией, включая режимы хранения, способы обращения, ограничения по использованию и передаче третьей стороне и между подразделениями организации.

Должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, включая авторизацию и аудит доступа.

Ответственность за ИБ организации несет ее руководитель, который делегирует эту ответственность одному из менеджеров. Обычно эти функции выполняет Директор по ИБ (CISO) или Директор по безопасности (CSO), иногда Директор по ИТ (CIO).

Решение о предоставлении доступа к конкретным информационным ресурсам должны принимать владельцы этих ресурсов, назначаемые из числа руководителей подразделений, формирующих и использующих эти ресурсы. Кроме того, вопросы предоставления доступа конкретным сотрудникам должны быть согласованы с их непосредственными руководителями.

Многие правила политики безопасности являются понятными для сотрудников и выполняются ими в большинстве случаев на интуитивном уровне. Остальные требуют обучения.

Политика безопасности организации в области предотвращения утечки информации

В основе системы защиты информации лежат внутренние нормативные документы, устанавливающие ответственность и определяющие правила по защите информации, обязательные для исполнения всеми сотрудниками организации. К ним относятся:

Положение о коммерческой тайне

Руководство по защите конфиденциальной информации

Правила работы пользователей в корпоративной сети

Инструкции по использованию сервисов безопасности

Регламент предоставления доступа к информационным ресурсам

Хорошей практикой является разработка и внедрение нескольких небольших документов, вместо одного объемного, который все-равно никто не сможет дочитать до конца и тем более запомнить все, что там написано. Можно рекомендовать следующий состав документов, ориентированных на всех сотрудников организации:

Правила работы пользователей в корпоративной сети

Правила выбора, хранения и использования паролей

Инструкция по защите от компьютерных вирусов

Правила использования мобильных устройств для работы в корпоративной сети

Правила работы в сети Интернет

Состав документов может варьироваться. При определении состава и содержания документов можно рекомендовать опираться на требования ISO/IEC 17799:2000.

Основные правила обращения с конфиденциальной информацией

Как оказывает практика, значительного ограничения утечки информации из организации можно добиться путем применения шести основных правил, к которым относятся:

Маркирование документов

Закрытое обсуждение

Шифрование информации при хранении и передаче

Использование соглашений о конфиденциальности

Ограничение доступа к информации

Информирование

Основная задача состоит в том, чтобы добиться интуитивного применения этих правил всеми сотрудниками организации.