Обеспечение конфиденциальности информации — это всегда комплексный подход
(Зенин Н.) («Трудовое право», 2010, N 1)
ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ — ЭТО ВСЕГДА КОМПЛЕКСНЫЙ ПОДХОД
Н. ЗЕНИН
Николай Зенин имеет 13-летний опыт работы в ведущих российских ИТ-компаниях в области корпоративных продаж. За многолетнюю практику ему не раз приходилось сталкиваться с вопиющими инцидентами нарушения коммерческой тайны со стороны сотрудников — некоторые из них даже открывали собственный бизнес на основе клиентской базы материнской компании.
В 2006 г., работая в LETA IT-company, он на своем примере узнал, что такое система защиты от утечки информации. Так, через несколько минут после попытки переслать свои наработки по клиентской базе на личный адрес электронной почты он получил гневное письмо от руководства с требованиями предоставить разъяснения. Утечки корпоративной информации больше не проходили незамеченными, а Н. Зенин отвечает за развитие направления защиты коммерческих тайн заказчиков LETA. Собственно, LETA IT-company, специализируясь в области информационной безопасности, имеет успешный опыт предотвращения собственных утечек. В компании введен режим коммерческой тайны. Был даже успешный (для компании) прецедент заведения уголовного дела на сотрудника, нарушавшего коммерческую тайну с целью перевода на себя канала продаж, — рассказывает Николай. По результатам исследования, проведенного в США компанией Symantec и институтом Ponemon, — «Data Loss Risks During Downsizing. Symantec and Ponemon Institute Study. February 2009» <1> — был приведен список информационных ресурсов работодателя, которые сотрудники чаще всего забирают с собой при смене места работы: ——————————— <1> http:// www. computerworld. com/ pdfe/ Symantec_ DataLossRisks_ wp. pdf, http:// www. youtube. com/ wateh? v= 8BblHMSCbr4.
— имеющиеся в компании списки адресов e-mail — 65% опрошенных; — различная корпоративная информация нефинансового характера (например, проектная документация, описание продуктов) — 45%; — базы данных клиентов компании — 39%; — персональные данные сотрудников — 35%. Сравнивая аналогичные показатели с исследованиями по России, Н. Зенин отмечает, что работники в США отличаются большей лояльностью: только 16% респондентов забирают с собой копию информации, содержащую внутренние финансовые показатели компании. Что являлось причиной утечки? Согласно результатам исследований рисков безопасности, проведенных компанией Symantec, большинство (96%) всех инцидентов, связанных с утечкой информации, являются непреднамеренными, а среди них: — 50% инцидентов происходит вследствие того, что сложившиеся в компаниях бизнес-процессы небезопасны сами по себе (например, в компаниях разрешено использование веб-почты, не существует регламента использования сменных устройств записи информации); — 46% инцидентов происходит из-за неосторожной работы (недосмотра) сотрудников и нарушения ими установленных регламентов информационной безопасности (без намерения навредить компании или получить выгоду). Только 2% инцидентов являются результатом целенаправленной передачи (либо разглашения) конфиденциальной информации по инициативе сотрудника либо его руководителя. Конфиденциальную информацию, обрабатывающуюся в информационных системах организации, можно сравнить с водой — жидкой субстанцией, которая иногда утекает через различные отверстия (бреши в защите информационной системы). Для снижения рисков утечки обычно предпринимаются определенные меры (в том числе технические: закрывают «флешки», контролируют электронную почту, фильтруют предоставленный сотрудникам доступ к Интернету). Но если сотрудники специально пытаются вывести «воду» из компании, «жидкость» превращается в «газ». И в таком случае закрытие локальных участков утечки информации может привести к обратному эффекту — «газ» проникает в оставшиеся отверстия с еще большей скоростью. Например, сотрудник, которому заблокировали доступ к web-почте, может попробовать записать на «флешку» не только проектную документацию, но и клиентскую базу. В таком случае нужно принимать более радикальные меры. Итак, обеспечение конфиденциальности информации — это всегда комплексный подход, включающий административные, юридические и технические меры. Технические меры принимаются для автоматизации существующих административных, а в некоторых случаях и юридических мер защиты информации. Согласно Закону «О коммерческой тайне», работодатель вправе принимать и использовать те технические меры, которые сам считает нужными в его ситуации для защиты информации. DLP (Data Loss Prevention) — системы защиты — работают в виде фильтра для проверки всех каналов выхода информации из организации. Когда сотрудник передает электронное сообщение или создает внешнюю копию документа, система сопоставляет его действия с установленными (переданной в систему) политиками информационной безопасности. Если данная передача является нелегитимной, то система реагирует заданным образом (блокирует передачу, предупреждает нарушителя или приостанавливает передачу до выяснения обстоятельств). Такие технические средства защиты позволяют снизить риски утечки, финансовый ущерб и предоставить доказательную базу службе безопасности самому сотруднику (если по его вине произошла утечка), — добавляет Н. Зенин.
——————————————————————