Сетевая бюрократия: разработка положения о коммерческой тайне
1. Шаг первый – создание службы безопасности;
2.
3. Шаг третий – положение о защите информации;
4. Заключение.
После создания (пусть хотя бы на бумаге) службы безопасности, специалисты по защите информации должны выполнить следующий шаг – разработать, согласовать и утвердить положение о коммерческой тайне. Это важнейший документ, описывающий, какая информация конкретной организации является коммерческой тайной. Типовой вариант положения содержит несколько разделов:
• Общие положения. Это обязательный раздел, содержащий описание назначения документа, а также ссылки на законы РФ, на которых основано данное положение;
• Расшифровка терминов и понятий, используемых в документе. Этот раздел готовится в расчете на то, что изучать документ будут рядовые пользователи, не знакомые с терминологией. В данном разделе обязательно необходимо раскрыть смысл терминов «режим коммерческой тайны», «носитель коммерческой тайны», «информация, составляющая коммерческую тайну», «ноу-хау»;
• Перечень сведений, составляющих коммерческую тайну. В данном перечне обязательно прописывается порядок работы с персональными данными сотрудников, так как их разглашение запрещено законом. Кроме того, крайне желательно внести в перечень информацию о структуре сети, применяемых технологиях защиты, параметрах доступа к серверам и базам данных - для этой информации можно ввести гриф «строго конфиденциально»;
• Свод методик и мероприятий, направленных на защиту коммерческой тайны. В частности, в данном разделе может даваться ссылка на положение о защите информации, речь о котором пойдет далее;
• Порядок получения доступа к тайной информации;
• Специальные обязанности лиц, имеющих допуск к коммерческой тайне и отвечающих за защиту коммерческой тайны;
• Наказание за нарушение правил работы с информацией, составляющей коммерческую тайну.
С практической точки зрения в перечень сведений, составляющих коммерческую тайну, желательно включить пункт «информация, хранящаяся на файловых и почтовых серверах, а так же на серверах без данных». За счет включения данного пункта в положение любое посягательство на серверы и базы данных со стороны сотрудников фирмы или атака извне может рассматриваться как атака с целью искажения и похищения конфиденциальной информации. Другой практический аспект – это обеспечение доступа к сведениям, составляющим коммерческую тайну. В идеале он должен обеспечиваться по унифицированным заявкам, которые подшиваются и хранятся достаточно длительное время. В Смоленскэнерго, к примеру, это реализовано следующим образом – существуют унифицированные заявки, которые заполняются сотрудником или специалистом IT-отдела. Далее заявка подписывается составившим ее специалистом, директором филиала, начальником службы безопасности, директором IT-подразделения, и, наконец, выполнившим заявку администратором. Данные заявки хранятся в базе данных, и в случае утечки информации или несанкционированного доступа очень легко установить, какие права имеет указанный пользователь, когда и кем составлены заявки на доступ и когда этот доступ был предоставлен. Важность подобного подхода возрастает пропорционально количеству пользователей и администраторов.
После согласования и утверждения положения о коммерческой тайне оно вводится в действие приказом генерального директора фирмы.
Рассмотрим несколько типовых примеров из практики, возникающих при отсутствии положения о коммерческой тайне:
• Сотрудник Х получает несанкционированный доступ к базе данных. Администраторы фиксируют этот факт, но в ходе служебного расследования сотрудник заявляет, что делал это из любопытства и не знал, что эти данные являются конфиденциальными. В данном случае официально наказать сотрудника невозможно, так как он не подписывал никаких документов о режиме коммерческой тайны. Кроме того, весьма спорным является вопрос о степени конфиденциальности той информации, к которой сотрудник успел получить доступ.
• Увольняется администратор фирмы Х. Пришедший ему на смену новый администратор сталкивается с проблемой – отсутствует информация о том, каким пользователям и на основании чего был предоставлен доступ к базам данных и серверам. Подобная проблема легко решается разве что в небольшой сети (10-20 пользователей).
• Администратор базы получает устную просьбу о подключении сотрудника К к базе данных от начальника одного из отделов. Через некоторое время происходит утечка информации по вине сотрудника К, и в ходе служебного расследования выясняется, что никаких документальных оснований (если не считать устную просьбу) на предоставление доступа к информации у администратора не было.
