Положение о конфиденциальности

1.1.Настоящее Положение определяет единый режим конфиденциальности и является основным руководящим документом, обязательным для исполнения всеми Структурными подразделениями Компании.

1.2.Режим конфиденциальности определяется:

• Перечнем сведений, составляющих коммерческую тайну, Перечнем конфиденциальной информации, Перечнями персональных данных работников и клиентов/контрагентов Компании и установленным порядком отнесения информации к категории конфиденциальной (Раздел 4);
• ограничением свободного доступа к такой информации путем установления порядка обращения с этой информацией (Раздел 5, Раздел 7) и контроля его соблюдения (Раздел 10);
• договорным регулированием отношений с работниками (Трудовой договор) и с контрагентами (Раздел 8) по вопросам условий передачи и использования конфиденциальной информации;
• нанесением на материальные носители конфиденциальной информации ограничительных отметок и грифа конфиденциальности с указанием ее обладателя (Раздел 7).

Кроме указанных мер в Компании могут применяться, при необходимости, средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.

1.3. Ответственность за организацию режима конфиденциальности в структурных под-разделениях Компании несут их руководители.

1.4.Работники Компании несут ответственность за соблюдение режима конфиденциальности в соответствии с законодательством Российской Федерации и взятыми на себя добровольными обязательствами перед Компанией.

Федеральный закон от 20 февраля 1995г. № 24-ФЗ "Об информации, информатизации и защите информации".

Закон РФ от 10 января 2002г. № 1-ФЗ "Об электронной цифровой подписи".

Закон РФ от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».

Федеральный закон РФ от 30 декабря 2001 г. № 197-ФЗ «Трудовой кодекс РФ».

Режим конфиденциальности – правовые, организационные, технические и иные меры, принимаемые Компанией и ее контрагентами к охране конфиденциальной информации.

Конфиденциальная информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления, составляющие коммерческую тайну, или иные сведения, охраняемые в соответствии с законодательством Российской Федерации, а также нормативными актами и документами Компании.

Передача конфиденциальной информации - доведение ее обладателем в документированном виде до уполномоченных штатных работников Получающей стороны и принятие ими установленных законом или договором мер по охране ее конфиденциальности. Конфиденциальный документ – зафиксированная на материальном носителе конфиденциальная информация с реквизитами, позволяющими ее идентифицировать.

Структурное подразделение – управление Главного офиса, иное подразделение Компании или дочерние компании, разрабатывающее конфиденциальный документ или курирующее его разработку сторонней организацией.

Компания – «___________», включая дочерние компании.

Гриф конфиденциальности – применяемые в Компании грифы конфиденциальности:

• Коммерческая тайна – гриф конфиденциальности для документов, содержащих информацию, составляющую коммерческую тайну Компании
• Персональные данные – гриф конфиденциальности для документов, содержащих защищаемые в Компании персональные данные
• Для внутреннего пользования (ДВП) – гриф конфиденциальности для документов, содержащих иную за-щищаемая конфиденциальную информацию, не относящуюся к сведениям, составляющим ком-мерческую тайну и персональные данные

Ограничительные отметки - применяемые в Компании отметки ограничивающие доступ к информации:

• Строго конфиденциально - защищаемая информация, разглашение которой может повлечь значительные убытки со стороны Компании
• Конфиденциально - защищаемая информация, разглашение которой может повлечь незначительные убытки со стороны Компании

4.1. Конфиденциальная информация Компании состоит из:

• сведений, составляющих коммерческую тайну ;
• сведений, составляющих персональные данные работников и иных лиц, передавших свои персональные данные Компании в связи с бизнес-деятельностью Компании ;
• конфиденциальных сведений иных юридических и физических лиц, переданных Компании согласно законодательству РФ и/или на договорной основе;
• иной информации Компании, в отношении которой введен режим ее ограниченного распространения и защиты.

4.2. Отнесение конкретной информации о деятельности Компании к конкретной категории конфиденциальной производится на основании Перечня сведений, составляющих коммерческую тайну, Перечня конфиденциальной информации, Перечня персональных данных Компании (далее – Перечни).

4.3.К конфиденциальной информации следует относить:

• сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность;
• сведения, составляющие охраняемую законодательством РФ тайну, переданную Компании установленным порядком;
• техническую, технологическую, коммерческую, организационную или иную используемую в предпринимательской деятельности информацию:
  • которая обладает действительной или потенциальной коммерческой ценностью в силу неизвестности ее третьим лицам,
  • к которой нет свободного доступа на законном основании,
  • по отношению к которой владелец информации принимает адекватные ее ценности правовые, организационные, технические и иные меры защиты.

Информация имеет действительную или потенциальную коммерческую ценность, если она позволяет или может позволить обладателю коммерческой тайны при существующих или возможных обстоятельствах в силу неизвестности ее третьим лицам:

• увеличить доходы,
• избежать убытков,
• сохранить положение на рынке или получить иную коммерческую выгоду.

4.4. Не может быть отнесена к категории конфиденциальной информация:

• содержащаяся в Едином государственном реестре юридических лиц, положениях о филиалах и представительствах юридических лиц;
• содержащаяся в свидетельствах о регистрации гражданина в качестве индивидуального предпринимателя, лицензиях и иных документах на право занятия отдельными видами деятель-ности;
• о составе федерального имущества и об использовании средств федерального бюджета, о составе имущества и об использовании средств бюджетов субъектов Российской Федерации, о составе муниципального имущества и об использовании средств муниципальных бюджетов;
• о состоянии экологии, противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и о других факторах, влияющих на обеспечение безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
• о численности, составе, об условиях труда работников и о наличии свободных рабочих мест;
• о задолженности работодателей по выплате заработной платы и по другим выплатам социального характера;
• о нарушениях законодательства Российской Федерации и об их последствиях;
• об условиях приватизации объектов государственной и муниципальной собственности, о составе участников приватизации и средствах, вложенных этими участниками при приватиза-ции;
• о деятельности и об использовании средств и имущества благотворительных организаций, кроме случаев, предусмотренных федеральными законами;
• о перечне лиц, имеющих право без доверенности выступать от имени юридического лица (совершать сделки);
• обязательность раскрытия которых или недопустимость ограничения доступа к которым установлены федеральными законами («Об акционерных обществах», «О рынке ценных бумаг» и др.).

4.5. Степень конфиденциальности сведений должна соответствовать тяжести ущерба, который может быть нанесен интересам Компании в финансово-экономической, научно-технической и иных областях ее деятельности, а так же деловой репутации Компании вследствие распространения указанных сведений.

Под ущербом понимаются расходы, которые Компания произвела или должна будет произвести для восстановления нарушенного права, утраты или повреждение имущества, а также неполученные доходы, которые Компания получила бы при обычных условиях гражданского оборота, если бы её право не было нарушено.

Количественные и качественные показатели ущерба Компании определяются в соответствии с нормативно-методическими документами, разрабатываемые Структурными подразделениями и утверждаемые руководителями в части их полномочий по отнесению сведений к коммерческой тайне, и согласованными с заместителем Генерального директора по безопасности.

4.6. Степень конфиденциальности сведений, находящихся в распоряжении нескольких Структурных подразделений устанавливается по взаимному согласованию между ними.

4.7. К категории конфиденциальных относятся также сведения, которые получены установленным порядком от предприятий, учреждений, организаций или граждан, не состоящих в отношении подчиненности к руководителю Компании и на которые имеется ссылка, как на конфиденциальные.

4.8.Документам Компании, содержащим конфиденциальную информацию, присваиваются следующие грифы конфиденциальности: Коммерческая тайна, Персональные данные.

4.9.Необходимость присвоения документу грифа конфиденциальности определяется исполнителем. Контроль соответствия грифа конфиденциальности содержанию документа осуществляет руководитель структурного подразделения.

4.10.Грифы конфиденциальности могут не проставляться на документах бухгалтерского учета и отчетности, договорах, финансовых документах установленной формы и документах, содержащих персональные данные работников Компании.

Порядок учета, хранения и работы с указанными документами в подразделении определяются руководителем Компании с учетом требований режима конфиденциальности. Пересылка (передача) таких документов другим подразделениям Компании или сторонним организациям производится установленным данным Положением порядком. При этом грифы конфиденциальности проставляются на сопроводительном письме.

5.1.Допуск работников структурных подразделений Компании к конфиденциальной информации осуществляется приказом по Компании на основании мотивированного письма руководителя структурного подразделения на имя заместителя Генерального директора по безопасности.

Руководитель структурного подразделения несет персональную ответственность за подбор работников своего подразделения, допускаемых к конфиденциальной информации, и обязан обеспечить систематический контроль над тем, чтобы к указанной информации получали доступ только те лица, которым она необходима для выполнения своих функциональных обязанностей.

5.2. Допуск работников к конфиденциальной информации осуществляется только после подписания ими Трудового договора установленного образца с принятием работником индивидуальных обязательств, по лояльности Компании.

5.3.Командированные сторонними организациями лица допускаются к конфиденциальной информации Компании на основе письменных разрешений соответствующих руководителей, согласованных с заместителем Генерального директора по безопасности, при наличии Соглашения о конфиденциальности между Компанией и командирующей организацией, письменных запросов руководителей организаций, в которых работают командированные, с указанием целей получения конфиденциальной информации и перечня конкретных сведений, а также предписаний на выполнение заданий.

6.1.Лица, допущенные к конфиденциальной информации, обязаны:

• выполнять установленный в Компании режим конфиденциальности;
• не разглашать конфиденциальную информацию Компании и (или) её контрагентов, и без их согласия не использовать ее для собственных нужд в период действия трудового договора, а также в течение трех лет после его окончания, если предусмотренным трудовым договором соглашением между работником и работодателем не установлен иной срок;
• незамедлительно сообщать непосредственному руководителю о ставших известными ему фактах разглашения либо угрозе разглашения конфиденциальной информации Компании и (или) её контрагентов, незаконном получении или незаконном использовании третьими лицами конфиденциальной информации Компании и (или) её контрагентов;
• возместить причиненные убытки, если он виновен в разглашении конфиденциальной информации, ставшей ему известной в связи с исполнением им трудовых обязанностей;
• передать Компании при прекращении трудового договора материальные носители с конфиденциальной информацией Компании и (или) её контрагентов, имеющиеся в их распоряжении.

6.2. Лицам, допущенным к конфиденциальным работам, документам, запрещается:

• вести переговоры по конфиденциальным вопросам по незащищенным линиям связи, записывать и передавать (по сетям передачи данных общего пользования, телефону, Интернет и т.п.) конфиденциальную информацию с помощью самодельных шифров, кодов или условностей; производить без разрешения заместителя Генерального директора по безопасности звукозаписи по конфиденциальным вопросам;
• использовать конфиденциальную информацию в открытой служебной переписке, докладах и выступлениях, в открытых статьях и других материалах, предназначенных для опубликования;
• сообщать какую-либо информацию о проводимых конфиденциальных работах при обращении по личным вопросам, с жалобами, просьбами и предложениями в государственные органы и общественные организации;
• сообщать в письмах и телеграммах, направляемых в другие организации по вопросам контрагентских отношений, данные о характере проводимых конфиденциальных работ. При необходимости могут указываться лишь номера и даты издания конфиденциальных документов (без указания степени конфиденциальности документов), если в тексте писем или телеграмм не раскрывается их содержание; выполнять конфиденциальные работы на дому; выносить с территории Компании конфиденциальные документы без разрешения заместителя Генерального директора по безопасности;
• производить без разрешения заместителя Генерального директора по безопасности видео-, фото- и киносъемки в помещениях Компании, в которых производятся конфиденциальные работы или работы с конфиденциальными документами, конфиденциальных документов.

Требования к работникам по защите конфиденциальной информации включаются в Правила внутреннего трудового распорядка для сотрудников подразделения и в должностные инструкции работников.

7.1. Учет конфиденциальных документов

7.1.1. Учету подлежат все конфиденциальные входящие, исходящие и внутренние документы. Учет документов осуществляется по количеству листов, изданий (книг, журналов, брошюр) – поэкземплярно.

7.1.2. Учет документов производится ответственным за конфиденциальное делопроизводство.

7.1.3. Порядковая нумерация документов является единой для всех конфиденциальных документов. Учет конфиденциальных документов производится в отдельных от неконфиденциального учета журналах учета.

7.1.4. На каждом поступившем конфиденциальном документе, а также на сопроводительном письме к таким документам проставляется регистрационный штамп (для входящих документов) или отметка о поступлении (для внутренних документов).

7.1.5. Исполненные конфиденциальные документы группируются в дела в соответствии с номенклатурой дел делопроизводства. При этом на обложке дел, в которые помещены такие документы, проставляется гриф конфиденциальности.

7.2. Порядок оформления и оборота конфиденциальных документов

7.2.1. Гриф конфиденциальности, номер экземпляра, номер листа и общее количество листов в документе проставляются в правом верхнем углу всех страниц документа, на обложке и титульном листе издания и на первой странице сопроводительного письма к этим материалам, например:

Наименование и реквизиты Компании

Как предотвратить утечку конфиденциальной информации

Цифровая трансформация. Практическое руководство.

Владение информацией о противнике - один из наиболее действенных способов конкурентной борьбы на рынке. Необходимость решения проблемы утечки конфиденциальной информации связана с выживанием и успешным ведением бизнеса компании.

Ущерб от раскрытия конфиденциальной информации может выражаться в потере конкурентных преимуществ, упущенной коммерческой выгоде, санкциях со стороны регулирующих органов, административной и уголовной ответственности за раскрытие персональных данных, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, планируемых кадровых перестановках и т. п. Например, американская компания Victoria Secrets была оштрафована на 50 тыс. долл. за то, что не обеспечила надлежащей защиты своего Web-сайта электронной коммерции, в результате чего пострадали 560 клиентов, персональные данные которых оказались скомпрометированными.

Несмотря на то что несанкционированное раскрытие информации является во многих случаях административно и уголовно наказуемым деянием, в условиях, когда информационное законодательство РФ еще полностью не сформировано, а процессы законотворчества сильно отстают от уровня развития информационных технологий, возникают существенные трудности в обеспечении юридической защиты интересов собственников конфиденциальной информации. Однако приемлемое решение всегда существует, и поиск этого решения должен осуществляться в рамках стандартной схемы «объекты - угрозы - контрмеры».

Состав сведений с грифом «конфиденциальная информация» варьируется в зависимости от предприятия и должен приводиться в «Перечне сведений ограниченного распространения», который утверждается руководителем организации. Информация, не попавшая в данный перечень, считается открытой. Опираясь на опыт защиты информации в коммерческих организациях и положения действующего законодательства, можно выделить следующие основные категории конфиденциальной информации:

• сведения, составляющие коммерческую тайну организации;
• персональные данные сотрудников организации (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника);
• сведения, составляющие конфиденциальную информацию третьих лиц (партнеров, клиентов, подрядчиков, контрагентов);
• любые другие сведения, разглашение и/или неправомерное использование которых может нанести ущерб интересам организации.

К открытой информации относятся, например, сведения:

• содержащиеся в сообщениях и отчетах, официально опубликованных компанией в соответствии с действующим российским законодательством;
• содержащиеся в официальных пресс-релизах, а также рекламных сообщениях компании;
• опубликованные в средствах массовой информации по инициативе третьих лиц и с разрешения руководства компании;
• любая информация, не попадающая в категории, определяемые «Перечнем сведений ограниченного распространения», принятым в организации, и не являющаяся конфиденциальной по законодательству РФ.

В коммерческой организации наиболее остро стоит вопрос о защите коммерческой тайны, однако не менее важными являются сведения, составляющие конфиденциальную информацию третьих лиц, к которым могут относиться коммерческая тайна третьих лиц, персональные данные, служебная тайна и т. п. включая государственную тайну.

Важной категорией конфиденциальной информации являются персональные данные сотрудников организации. Например, в США законодательство предусматривает строгое наказание за раскрытие персональных данных граждан. Соответствующие вопросы отражены в Privacy Act и HIPPA, последний определяет наказание до десяти лет лишения свободы или 200 тыс. долл. штрафа за умышленное раскрытие персональных данных.

В нашей стране вопросы защиты персональных данных пока недостаточно хорошо проработаны как на законодательном, так и на технологическом уровне. Однако правовая база все же была заложена в законе РФ «Об информации, информатизации и защите информации».

Помимо определения состава конфиденциальных сведений, информационные ресурсы организации нуждаются также в категорировании по уровню конфиденциальности. Это позволяет ввести дифференцированный подход к реализации защитных мер. Знания о составе информационных ресурсов организации и соответствующих уровнях конфиденциальности формализуются в виде единого «Реестра информационных ресурсов организации».

Количество потенциальных каналов утечки информации достаточно велико. Наиболее распространенные из них относятся к категории неумышленного раскрытия информации сотрудниками по причине неосведомленности или недисциплинированности. Отсутствие представлений о правилах работы с конфиденциальными документами, неумение определить, какие документы являются конфиденциальными, и просто обычные разговоры между сотрудниками — все это может привести к рассекречиванию данных.

Умышленный «слив» информации встречается значительно реже, зато осуществляется целенаправленно и с наиболее опасными последствиями для организации.

Хорошим примером утечки конфиденциальной информации из организации из-за технической неосведомленности сотрудников может служить ситуация, возникающая вокруг повсеместно используемого текстового редактора MS Word. По данным британской компании Workshare, специализирующейся в области обеспечения защиты документов, текстовый редактор Word компании Microsoft сам по себе представляет огромную опасность. Речь идет о заложенной в нем возможности извлечения информации, вносившейся в документ по ходу его подготовки, правки и согласования, пусть даже удаленной впоследствии. Внимательный читатель, недобросовестный конкурент или мошенник могут, если не предпринять определенные меры, почерпнуть немало интересного о том, как, к примеру, варьировались по мере подготовки финального текста контракта его ключевые положения.

По данным консалтинговой компании Vanson Bourne, в целом до 31% файлов в формате Word содержат весьма «щекотливую» информацию. В некоторых компаниях дела обстоят особенно неблагополучно - до трех четвертей всех документов попадают в группу «высокого риска». Больше того, 90% компаний не имеют ни малейшего представления о том, каким именно образом уже утекает или может утекать от них закрытая и служебная информация.

Компания Microsoft выпустила специальное программное расширение для MS Word под названием Remove Hidden Data [1, 2], с помощью которого пользователь может удалить персональные данные либо скрытую информацию, которая не должна быть выявлена при просмотре документа. Однако очень немногие организации добавили соответствующие правила «зачистки» в существующие регламенты работы с документами.

С учетом множественности категорий и каналов утечки информации становится очевидно, что в большинстве случаев проблему утечки нельзя решить каким-либо простым способом, тем более избавиться от нее окончательно. Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес-процессов организации. Это означает, что требуется система организационно-технических мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без значительного снижения эффективности бизнес-процессов. Без такой системы права на юридическую защиту интересов организации как собственника информации нереализуемы.

Система предотвращения утечки конфиденциальной информации включает в себя три основных составляющих: работу с персоналом, политику безопасности, сервисы безопасности.

Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен «свести на нет» любые самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом — главный механизм защиты.

Ключевые принципы и правила управления персоналом с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17799:2000 и сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

При работе с персоналом необходимо соблюдать следующие требования безопасности:

1. Ответственность за информационную безопасность должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, за ресурсы, процессы и мероприятия по обеспечению безопасности.
2. Должны проводиться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы, удостоверяющие личность. Для критичных должностей должна проверяться также кредитная история кандидата.
3. Подписание соглашения о неразглашении конфиденциальной информации кандидатом должно быть обязательным условием приема на работу.
4. Требования информационной безопасности, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность за нарушение безопасности.

Важную роль для обеспечения информационной безопасности играет осведомленность пользователей в вопросах безопасности и правилах безопасного поведения. Согласно ст. 139 Гражданского кодекса РФ, обладатель конфиденциальной информации имеет право на правовую защиту от незаконного ее использования только при условии, что он принимает надлежащие меры к соблюдению ее конфиденциальности, поэтому правила политики безопасности и ответственность, предусмотренная за их нарушение, должны быть документированы и доведены до сведения всех сотрудников под роспись. Контроль осведомленности должен осуществляться на регулярной основе. Основную роль здесь играют HR-менеджеры организации.

Необходимо проводить обучение и контролировать знания пользователей по следующим вопросам:

• правила политики безопасности организации;
• правила выбора, смены и использования паролей;
• правила получения доступа к ресурсам информационной системы;
• правила обращения с конфиденциальной информацией;
• процедуры информирования об инцидентах, уязвимостях, ошибках и сбоях программного обеспечения и др.

В организации должен быть разработан соответствующий дисциплинарный процесс, проводимый в отношении нарушителей безопасности и предусматривающий расследование, ликвидацию последствий инцидентов и адекватные меры воздействия.

При определении мер пресечения следует ориентироваться на положения действующего законодательства. Отношения между работником и работодателем и ответственность за нарушение информационной безопасности организации регулируются прежде всего Трудовым кодексом РФ. В определенных случаях возможно применение положений Кодекса об административных правонарушениях и Уголовного кодекса.

Так, на основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности организации, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы за неоднократное грубое нарушение дисциплины. Согласно ст. 238 Трудового кодекса РФ все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный компании в результате нарушения ими правил политики безопасности. Сотрудник компании несет материальную ответственность как за прямой действительный ущерб, непосредственно причиненный им работодателю, так и за ущерб, возникший у работодателя в результате возмещения им ущерба иным лицам. Сотрудники несут материальную ответственность в пределах своего среднего месячного заработка (ст. 241 Трудового кодекса РФ). Согласно ст. 243 Трудового кодекса РФ, за умышленное причинение ущерба, а также за разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами, сотрудники компании несут материальную ответственность в полном размере причиненного ущерба.

Роль менеджеров по персоналу в обеспечении информационной безопасности организации весьма значима, хотя и не является определяющей. HR-менеджеры должны принимать участие в разработке и внедрении политик безопасности, организации обучения пользователей, контроле осведомленности и расследовании нарушений. HR-менджеры в организации также выполняют функции владельцев персональных данных сотрудников компании и несут административную ответственность за разглашение или незаконное распространение этих данных.

Соответствующая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования. Она включает в себя определение уровней доступа к информации, механизмов контроля и функциональных ролей.

В организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности (например, открытая информация, конфиденциальная, строго конфиденциальная), правила маркирования конфиденциальных документов и правила обращения с конфиденциальной информацией, включая режимы хранения, способы обращения, ограничения по использованию и передаче третьей стороне и между подразделениями организации.

Должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, в том числе авторизация и аудит доступа.

Ответственность за информационную безопасность организации несет ее руководитель, который делегирует эту ответственность одному из менеджеров. Обычно эти функции выполняет директор по информационной безопасности (CISO) или директор по безопасности (CSO), иногда директор информационной службы (CIO).

Решение о предоставлении доступа к конкретным информационным ресурсам должны принимать владельцы этих ресурсов, назначаемые из числа руководителей подразделений, формирующих и использующих эти ресурсы. Кроме того, вопросы предоставления доступа конкретным сотрудникам должны быть согласованы с их непосредственными руководителями.

Многие правила политики безопасности понятны сотрудникам и выполняются ими в большинстве случаев на интуитивном уровне. Остальные требуют обучения.

Как показывает практика, значительного ограничения утечки информации из организации можно добиться путем применения шести основных правил. Основная задача состоит в том, чтобы добиться интуитивного применения этих правил всеми сотрудниками организации.

Правило №1. Маркирование документов.

Документы (бумажные и электронные), содержащие конфиденциальную информацию, подлежат обязательному маркированию путем проставления грифа конфиденциальности в правом верхнем углу титульного листа.

Маркирование конфиденциальных документов осуществляется ответственным за их подготовку или ответственным за работу с данными документами. Маркирование сообщений электронной почты осуществляется пользователем, выполняющим отправку (распространение) данных сообщений.

В документах, содержащих конфиденциальную информацию и передаваемых третьей стороне, на обороте титульного листа в обязательном порядке должно быть «заявление о конфиденциальности».

Правило №2. Закрытое обсуждение.

Не следует обсуждать конфиденциальную информацию с посторонними лицами (или в их присутствии), с друзьями, родственниками, сотрудниками организации, не допущенными к работе с данной информацией, и т. п. Также не следует обсуждать конфиденциальную информацию в общественных местах в присутствии посторонних (не допущенных к данной информации) лиц, включая столовую и места для курения, расположенные на территории компании.

Правило №3. Шифрование информации при хранении и передаче.

Для обеспечения надлежащего уровня защиты шифрование должно применяться как при хранении, так и при передаче конфиденциальной информации. Электронный обмен конфиденциальной информацией с внешними респондентами должен вестись в зашифрованном виде, при наличии соответствующих технических возможностей.

Правило №4. Использование соглашения о конфиденциальности.

Передача сведений, содержащих конфиденциальную информацию, третьей стороне должна осуществляться только после заключения с этой стороной «Соглашения о конфиденциальности».

Правило №5. Ограничение доступа к информации.

Не хранить электронные документы, содержащие конфиденциальную информацию, в общедоступных местах, включая общие папки файловых серверов, Web, почтовые папки и т. п.

Правило №6. Информирование.

Требуется не только самим овладеть методами защиты информации, но также следить за их выполнением другими сотрудниками и вести разъяснительную работу. Обо всех фактах утечки информации следует незамедлительно сообщать своему непосредственному руководителю.

Сервисы безопасности используются для ограничения доступа к информации, протоколирования фактов осуществления доступа и контроля информационных потоков. Они позволяют обеспечить предупреждение, предотвращение, обнаружение и реагирование на инциденты, связанные с утечкой информации.

К числу сервисов безопасности относят аутентификацию, управление доступом, шифрование, фильтрацию контента и аудита безопасности.

Традиционные схемы аутентификации и управления доступом во многих случаях уже не обеспечивают адекватного уровня защиты. В дополнение к ним целесообразно использовать специализированные сервисы управления правами доступа к электронным документам, которые уже начинают появляться на рынке.

Примерами соответствующих коммерческих продуктов являются Microsoft RMS (впервые появившийся в Windows Server 2003) и программно-аппаратный комплекс Sentinel RMS, производимый компанией SafeNet.

RMS (Rights Management Services, сервисы управления правами доступа) - это технология, используемая для защиты электронных документов от несанкционированного использования. Она позволяет при распространении информации определять ограничения по использованию последней. Например, автор документа может ограничить «время жизни» документа, а также возможность для определенных пользователей открывать, изменять, копировать в буфер обмена, печатать или пересылать документ. Основное отличие данной технологии от традиционных способов разграничения доступа к информации заключается в том, что права доступа и дополнительные ограничения по использованию хранятся в теле самого документа и действуют независимо от его местонахождения. Шифрование документов, реализованное в технологии RMS, не позволяет получать доступ к их содержанию каким-либо обходным путем.

Использование RMS, конечно, не решает всех проблем. Например, эта технология не защищает от умышленного «слива» информации по электронной почте, что на практике встречается довольно часто, и заставляет руководство организации вводить правила по фильтрации исходящих из корпоративной сети сообщений по их содержанию. Анализ содержания сообщений по ключевым словам может быть достаточно эффективным, однако требует проведения серьезной работы по «тюнингу» системы фильтрации контента, так как ни одна из подобных систем не работает «прямо из коробки». Даже хорошо отлаженная система фильтрации требует постоянного внимания со стороны администратора безопасности.

Шифрование — один из наиболее надежных способов обеспечения конфиденциальности информации. Криптографические методы давно и успешно развиваются во всем мире, поэтому в настоящее время механизмы шифрования являются сильным звеном в любой системе обеспечения информационной безопасности.

Так, например, доступный и распространенный способ шифрования информации при хранении для пользователей ОС Microsoft Windows — применение встроенного в NTFS сервиса Encrypted File System (EFS). Во всех распространенных почтовых клиентах поддерживаются функции шифрования сообщений, что позволяет без дополнительных усилий производить обмен конфиденциальной информацией с внешними респондентами в зашифрованном виде.

Последним рубежом в комплексной системе предотвращения утечки информации из организации является подсистема аудита информационной безопасности, которая позволяет оперативно обнаруживать и реагировать на нарушения безопасности, а также производить расследование инцидентов, связанных с утечкой информации. Она должна охватывать все виды событий, связанных с получением доступа к конфиденциальным данным и выполнением действий, способных привести к их несанкционированному раскрытию, включая изменение прав доступа, копирование и вывод на печать.

Успешная реализация намеченных подходов к предотвращению утечки информации крайне затруднительна в том случае, если в организации отсутствует действующая система управления информационной безопасностью (СУИБ), которая характеризуется прежде всего наличием работающей политики безопасности и организационной структуры, выстроенной в соответствии с этой политикой, а также наличием процессов, процедур и механизмов контроля. Основными руководящими документами в этой области могут служить международный стандарт ISO/IEC 17799:2000, который описывает 127 механизмов контроля, обеспечивающих функционирование СУИБ, а также британский стандарт BS 7799-2:2002, определяющий спецификацию СУИБ, руководство по ее использованию для создания СУИБ и прохождения процедуры сертификации.

Эдуард Гордеев - вице-президент корпорации «ЮНИ», Gordeev@uni.ru ;
Александр Астахов - руководитель направления информационной безопасности корпорации «ЮНИ», Astakhov@uni.ru

Действующее информационное законодательство Российской Федерации представлено целым блоком нормативно-правовых актов самого различного уровня, начиная с Конституции, Гражданского, Уголовного и Административного кодекса РФ и заканчивая узкоспециализированными, фундаментальными источниками, регулирующими вопросы защиты информации. К последним относятся законы РФ «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», вступивший в силу с 24 декабря 2004 года «Закон о коммерческой тайне». На рассмотрении в Государственной думе в настоящее время находится еще ряд проектов законов, включая законы о защите персональной и служебной информации.

Однако большой объем актов правового регулирования и наличие основополагающих профильных нормативных актов не означают совершенства действующего законодательства в этой сфере. Сегодняшние законодательство и наука не позволяют четко отграничить информацию от других объектов права, установить ее правовую природу, обозначить круг информационных правоотношений, однозначно определить субъектный состав и содержание информационных отношений и т. д. В частности, своего скорейшего разрешения требует проблема правового регулирования оборота недокументированной информации.

Предметом защиты коммерческой информации являются все свойственные предприятиям компании особенности и детали коммерческой деятельности, деловые связи, закупка сырья и товаров, сведения о поставщиках, предполагаемой прибыли, методики установления цен, результаты маркетинговых исследований, счета, договоры и т. п.

По гражданскому законодательству (ст. 139 Гражданского кодекса РФ) обладатель технической, организационной или коммерческой информации, составляющей секрет производства, имеет правовую защиту от незаконного ее использования при условии, что:

• информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;
• к информации нет свободного доступа на законном основании;
• обладатель информации принимает надлежащие меры к соблюдению ее конфиденциальности.

Отношения, возникающие между субъектами гражданского общества, связанные с отнесением информации к коммерческой тайне, передачей такой информации и охраной ее конфиденциальности, регулируются законом «О коммерческой тайне». Согласно этому закону права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении такой информации режима коммерческой тайны, под которым понимаются «правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности».

В основе системы защиты информации лежат внутренние нормативные документы, устанавливающие ответственность и определяющие правила по защите информации, обязательные для исполнения всеми сотрудниками организации. К ним относятся: положение о коммерческой тайне; руководство по защите конфиденциальной информации; правила работы пользователей в корпоративной сети; инструкции по использованию сервисов безопасности; регламент предоставления доступа к информационным ресурсам.

Хорошей практикой является разработка и внедрение нескольких небольших документов вместо одного объемного, который все равно никто не сможет дочитать до конца и тем более запомнить все, что там написано. Можно рекомендовать следующий состав документов, ориентированных на всех сотрудников организации:

• правила работы пользователей в корпоративной сети;
• правила выбора, хранения и использования паролей;
• инструкция по защите от компьютерных вирусов;
• правила использования мобильных устройств для работы в корпоративной сети;
• правила работы в сети Internet.

Состав документов может варьироваться. При определении состава и содержания документов можно опираться на требования ISO/IEC 17799:2000.