Защита информации бизнес плана

Как защитить информацию внутри компании: на бумаге или в электронных документах

Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.

Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.

Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.

Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.

Выберите информацию, которую стоит защитить

Компании хотят защитить информацию, которая помогает им зарабатывать.

Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.

В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.

Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.

Есть перечень сведений, которые нельзя скрывать:

1. Информация, которая разрешает заниматься бизнесом: учредительные документы, данные о регистрации.
2. Сведения о том, что работа компании не вредит людям: отчеты о загрязнении окружающей среды, противопожарной безопасности компании, санитарно-эпидемиологическом состоянии производства и другие.
3. Информация, которую законы запрещают держать в секрете: годовая бухотчетность АО, задолженность компании по налогам, потребительская информация о товаре и другие.

В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:

Можно	Нельзя
— Список клиентов и поставщиков — Способы и принципы ценообразования — Маркетинговые исследования и рекламные кампании — Технологические сведения о продукции — Особенности производственных процессов — Информация о методах управления и внутренней организации предприятия — Деловая переписка	— Имя генерального директора — Состав и квалификация персонала — Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое — Задолженность по зарплате — Список лиц, которые могут представлять организацию без доверенности — Номер лицензии на осуществление деятельности

Защитите секретную информацию от сотрудников и сторонних партнеров

Чтобы защитить секретные данные, компании нужно пройти четыре шага:

• Ввести режим коммерческой тайны.
• Заключить с сотрудниками договоры на создание продуктов.
• Защитить интеллектуальную собственность.
• Ввести режим конфиденциальности с внешними партнерами.

Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.

Чтобы ввести режим коммерческой тайны, компании нужно:

1. Разработать положение о коммерческой тайне и конфиденциальности.
2. Ознакомить с ним сотрудников под подпись.
3. Создать условия для хранения секретных документов.
4. Обозначить всю ценную документацию грифом «Коммерческая тайна».
5. Вести журнал доступа к конфиденциальным сведениям.

Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.

Подробнее об этом расскажем в следующих статьях.

Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату

Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.

В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.

Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.

Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.

Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.

Компания не заключила договор с сотрудником и потеряла разработанный продукт

Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.

«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.

Защитить интеллектуальную собственность компании. Вы можете защитить:

• Объекты авторского права: видео- и аудиозаписи, литературные произведения, картины, логотипы, базы данных, программы.
• Товарные знаки.
• Промышленную собственность: изобретения, промышленные образцы, полезные модели.
• Секреты производства (ноу-хау): любые сведения, имеющие потенциальную или действительную коммерческую ценность.

Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.

Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.

Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.

Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.

Режим конфиденциальности может сработать и в более мирных условиях.

Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки.

Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.

Без коммерческой тайны ввести режим конфиденциальности нельзя.

Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽

По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.

Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.

Когда секретная информация защищена сама по себе

Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:

Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.

Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.

Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.

Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.

Наказать за раскрытие коммерческой тайны

Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:

Ответственность	Наказание	Основание
Дисциплинарная	В зависимости от вины, по решению руководителя компании: —замечание	ст. 192 ТК РФ
Материальная	Полное возмещение денежного ущерба, который получила компания утечки секретной информации. Закон не запрещает применять материальное и дисциплинарное наказание за одно и то же нарушение	п. 7 ст. 243 ТК РФ
Административная	Штраф для граждан — от 500 до 1000 ₽ Штраф для должностных лиц — от 4000 до 5000 ₽	ст. 13.14 КоАП РФ
Уголовная	Наказание для сотрудника, который нарушил режим коммерческой тайны, в зависимости от тяжести нарушения: штраф до 1 500 000 ₽ и лишение свободы до 7 лет	ст. 183 УК РФ

В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.

Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно

Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.

Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.

В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.

Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.

ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф

ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.

Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.

Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.

Главное

Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.

Для защиты ценной информации:

1. Введите в компании режим коммерческой тайны.
2. Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
3. Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
4. Введите режим конфиденциальности с партнерами.

За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.

Источник

Информационная безопасность бизнеса

Защита данных
на базе системы

И нформационная безопасность бизнеса становится важнейшей составляющей его успешного ведения. Специалисты по кибербезопасности Cybersecurity Ventures сообщили, что в 2019 году хакерские атаки происходили каждые 14 секунд. Сбербанк спрогнозировал, что совокупные мировые убытки компаний от информационных рисков достигнут 2,5 триллионов долларов. Не меньший риск влекут за собой действия инсайдеров. При этом менеджмент компаний не всегда в полной мере может оценить риски и выстроить стратегию действий, способных минимизировать угрозы.

Информационные угрозы

Эксперты делают вывод, что угрозы информационной безопасности бизнеса становятся существеннее. Так, в 2019 году только количество случаев использования методов социальной инженерии выросло на 6 %. Кибермошенники атакуют российские компании в 1,6 чаще, чем в среднем компании по миру. Связано это может быть с тем, что отечественный бизнес меньше внимания уделяет оценке угроз и защите от них. В зоне риска находятся в большей степени организации финансового сектора. SAP CIS сообщает, что ежемесячно атаке подвергаются 1-2 банка и средняя стоимость ущерба от атаки составляет 2 миллиона долларов. Но так как персональные данные – наиболее ходовой товар на черном рынке информации, стоит задуматься о безопасности организаций, специализирующихся в сфере ритейла: операторов сотовой связи, транспортных и туристических компаний.

Крупные компании подвергаются атакам десятки раз в день, при этом кибермошенники постоянно сканируют периметр информационной безопасности, проводят мониторинг уязвимостей и тестируют новое вредоносное программное обеспечение. Если сама компания тратит существенные бюджеты на защиту от угроз информационной безопасности, то ее поставщики и подрядчики, небольшие фирмы, выполняющие отдельные заказы, оказываются более уязвимыми и вместе со своими данными теряют информацию заказчика. Инсайдерские риски не менее серьезны, если организация не использует систему ограниченного доступа и не выстраивает многоуровневую оборону.

Для обычной компании, чья информация не имеет существенной самостоятельной ценности для мошенников, наибольшими угрозами становятся:

• вредоносное ПО различных модификаций (вирусы-шифровальщики, сетевые черви). Наибольшую угрозу несут шифровальщики, за возврат данных, не только относящихся к коммерческой тайне, но и операционных, требуется выкуп;
• спам, затрудняющий обработку внешней корреспонденции и забивающий информационные потоки;
• действия инсайдеров, похищающих или изменяющих данные;
• фишинговые атаки, связанные с подменой адресов сайтов;
• бизнес-разведка, заказанная конкурентами;
• сетевые атаки;
• DDoS-атаки, вызывающие отказ в обслуживании;
• кража оборудования и мобильных устройств, содержащих конфиденциальную информацию;
• таргетированные атаки;
• саботаж сотрудников.

Инсайдерские угрозы, намеренные и непреднамеренные, могут также быть классифицированы:

• пропущенные из-за некомпетентности сотрудников уязвимости в ПО или в технической части системы;
• случайные утечки информации;
• намеренные утечки, вызванные подкупом конкурентов, посредников на рынке краденых данных или совершаемые из мести;
• утечки данных, связанные с обменом конфиденциальной информацией через мобильные устройства;
• потеря мобильных устройств или компьютеров;
• утечки информации у поставщиков услуг, иных контрагентов.

Чаще всего похищается информация следующих типов:

• общедоступная внутренняя операционная информация;
• персональные данные клиентов;
• базы данных клиентов компании;
• закрытая финансовая информация, управленческая отчетность;
• интеллектуальная собственность;
• маркетинговые исследования, исследования о конкурентах;
• платежная информация, данные о банковских трансакциях.

К отдельному риску относится среда виртуализации. Компании используют облачные технологии в целях экономии при хранении данных и при применении бизнес-приложений. Далеко не всегда поставщики услуг могут обеспечить необходимый уровень защиты информации, особенно если речь идет о персональных данных, где необходимо соблюсти требования регулятора.

Сложно подсчитать действительный ущерб бизнеса от угроз информационной безопасности. Его можно рассчитать, исходя из имеющихся цифр и аналитики скрытой части проблемы, большинство компаний стараются скрыть данные о происходящих инцидентах, стремясь избежать репутационных издержек. Эксперты считают, что за один год бизнес теряет от атак сумму, сравнимую со стоимостью реализации всего проекта «Цифровая экономика» за шесть лет (1,5 триллиона рублей только за 2019 год, по расчетным данным).

• фактическим, в виде пропавших денег со счетов, сумм, выплаченных вымогателям, заразившим систему вирусами, ущерба от приостановки бизнес-процессов. Особой статьей расходов становятся штрафы, выплаченные в бюджет, и ущерб, компенсированный клиентам в результате выигранных процессов в связи с утратой компанией ценной информации;
• расчетным, когда суммы неполученной прибыли от утечки ценной информации можно рассчитать исходя из финансовых показателей деятельности компании и из сумм, потраченных на спешное обновление системы информационной безопасности;
• репутационным – компания теряет рынки, клиентов, стоимость ее акций падает в ситуации, когда становится известно о ее неосмотрительном поведении и недостаточной защите важных данных.

Ущерб может проявиться лишь спустя длительное время, например, когда ноу-хау было похищено инсайдером и появилось в распоряжении конкурентов через годы.

Позиция менеджмента

Руководство компаний придерживается двоякой позиции в вопросе об информационной безопасности бизнеса. Иногда угрозы переоцениваются, иногда недооцениваются.

«Лаборатория Касперского» приводит такие цифры:

• 41 % компаний считает основным приоритетом защиту данных от целевых атак;
• 91 % недооценивает риски от применения вредоносного ПО;
• большинство предприятий считает единственной необходимой защитой только антивирусное ПО;
• внутренние угрозы, инсайдеры становятся причинами утечек в 87 % случаев.

Отсутствие четкого понимания собственной модели угроз становится причиной или перерасходования бюджетов на безопасность, когда тратятся суммы на новейшее программное обеспечение, или недооценки необходимого финансирования, и тогда ущерб становится причиной непрофессиональных действий менеджмента.

Избираемые способы обеспечения информационной безопасности бизнеса зависят от модели угроз. В банках и организациях финансового сектора наибольшему риску подвергается информация о вкладах и счетах клиентов. У операторов сотовой связи хакеров интересуют персональные данные клиентов или детализация звонков. Для промышленности целью хакеров может стать перехват управления информационной системой предприятия и остановка его работы.

Перечень способов защиты зависит от различных факторов:

• уровня защищаемой информации;
• рекомендаций регуляторов;
• имеющихся в наличии временных, финансовых, человеческих ресурсов.

Основой выстраивания стратегии обеспечения информационной безопасности бизнеса часто становятся не реально существующие модели угроз, а то, как руководители самостоятельно, на основе изучения прессы или аналитической информации или же под влиянием ИТ-персонала, представляют себе риски.

• защита данных от таргетированных атак на конфиденциальную информацию компании – 41 %;
• защита данных от утечек вне зависимости от их характеристик – 34 %;
• предотвращение DDoS-атак (вне зависимости от модели бизнеса) – 29 %;
• выстраивание системы защиты от компьютерных сбоев – 23 %;
• возврат инвестиций, вложенных в ИТ-инфраструктуру, – 20 %;
• принятие решения о дальнейшем финансировании ИТ-инфраструктуры.

Отдельным вопросом, не относящимся к приоритетам менеджмента именно с точки зрения бизнеса, но имеющим значение для принятия решения о системе мер защиты, становится выполнение требований регуляторов, связанных с охраной государственной или банковской тайны, персональных данных.

Меры и способы обеспечения информационной безопасности бизнеса

То, как российский бизнес выстраивает систему информационной безопасности, можно узнать из опросов. Редко кто считает необходимым использовать весь спектр программных, технических и организационных мер, даже если они предписаны регуляторами. Чаще всего используются заменяющие варианты аппаратных и программных средств с обещанием установить необходимые при первой возможности.

Большинство предприятий выстраивает систему приоритетов исходя из модели бизнеса и имеющихся финансовых ресурсов. Среди основных:

• антивирусная защита и иная защита от вредоносного ПО на компьютерах;
• контроль за обновлением ПО, устранением пробелов в защите, выявляемых в новых версиях, приобретение сертифицированного ПО;
• управление архитектурой сети, выделение и защита критически важных зон;
• контроль над использованием съемных носителей;
• обеспечение безопасного использования мобильных устройств;
• контроль за безопасностью облачных сервисов;
• внешний аудит безопасности;
• внедрение систем мониторинга работоспособности элементов ИТ-системы;
• контроль за утечками и установление DLP-систем;
• управление информацией и инцидентами, установка SIEM-систем;
• использование средств криптографической защиты;
• системы управления жизненным циклом ИТ (PC Lifecycle Management);
• системы управления мобильными устройствами (MDM).

Решения по защите чаще разрабатываются компаниями без опоры на требования регуляторов, рекомендующих меры по обеспечению безопасности персональных данных. Они обусловливаются потребностями бизнеса и бюджетом, и даже риск проверок не заставляет предприятия применять всю рекомендованную систему мер. Возможно, именно это становится причиной частых атак хакеров, понимающих уязвимости большинства систем информационной безопасности бизнеса. Для банков повышенная степень опасности от кибератак порождает необходимость разработки собственных систем безопасности в соответствии с международными стандартами и требованиями регулятора – Центробанка.

Отдельной задачей становится объединение интересов отдельных бизнес-субьектов в борьбе с глобальными угрозами, так как самостоятельная борьба с кибертерроризмом невозможна. Крупные корпорации создают объединения, в рамках которых организовывают обмен опытом и технологиями в сфере реагирования на кибератаки. Это же происходит в рамках государственного проекта ГосСОПКА, где на кибератаки совместно реагируют собственники объектов критической информационной инфраструктуры. Совместная работа еще больше снижает риск ущербов от действий хакеров.

Источник