Информационная безопасность предприятия занимает одну из лидирующих позиций среди факторов его успешной работы. От уровня такой безопасности во многом зависят шансы компании справиться с внешними угрозами. Однако нередко «удар» может быть нанесен с тыла — причиной утечки стратегически важной для фирмы информации могут стать бывшие или действующие сотрудники. Цель этой публикации состоит в предложении читателю некоторых практических рекомендаций по формированию или оптимизации системы информационной безопасности предприятия.
В первой части публикации мы рассказали об информации и ее видах. Итак, перейдем к следующему элементу системы информационной безопасности — «действующим лицам».
Участники процесса работы с конфиденциальной информацией
К числу участников процесса работы с конфиденциальной информацией, на наш взгляд, относятся:
- Собственник информации — лицо, которое создало определенную информацию либо законно получило права на нее. Как правило, таким собственником выступает само предприятие.
- Хранитель информации — собственник информационной системы (например — серверного оборудования и каналов связи с ним), а также собственник места физического хранения документации (например — банк, в котором открыта банковская ячейка либо же доверенный адвокат, предоставляющий правовую помощь компании и хранящий ее важную документацию). Еще одним звеном, тесно связанным с хранителем либо заменяющим его, может быть распорядитель информацией — лицо, ответственное не только за хранение информации, но и ее администрирование (например — начальник структурного подразделения компании, который контролирует доступ сотрудников такого подразделения к вверенной ему информации).
- Пользователь — лицо, которое непосредственно работает с информацией.
Говоря о собственнике той или иной информации, следует помнить, что для получения возможности законно требовать выполнения определенного порядка использование информации или же запрещать такое использование необходимо, чтобы собственник сам владел этой информацией на законных основаниях.
Построение системы информационной безопасности в части нелегальной информации — не возможно в рамках правового поля и не является предметом нашего исследования.
Если же собственник и хранитель информации не объединены в одном лице, то отношения между ними, как правило, регулируются договором. Следует отметить, что условия такого договора имеют большое значение. При их подготовке особое внимание следует обращать на перечень обязанностей хранителя информации с тем, чтобы у последнего не оставалось юридической возможности не нести ответственность за определенные участи хранения (движения) информации, а также временные периоды работы с ней.
Кроме того, можно рекомендовать предусматривать в договорах с хранителями информации их конкретную ответственность за нарушение условий договора. Хотя надо помнить, что штрафные санкции, предусмотренные договором, не всегда являются эффективным стимулом к надлежащему исполнению его условий. Поэтому, в таких ситуациях целесообразно предусматривать дополнительные рычаги влияния на хранителя информации (например — право уменьшить плату за его услуги в случае нарушений договора и т. д.).
Также надо помнить, что хранитель информации выполняет активную роль в процессе взаимодействия с распорядителями и пользователями информацией, поскольку именно он осуществляет непосредственное общение с последними.
Таким образом, заключая договор между собственником и хранителем информации, важно предусмотреть эффективную и удобную процедуру авторизации остальных участников процесса — уведомления хранителя о разрешении собственника на осуществление определенных действий с информацией для конкретного лица. Это позволит собственнику информации получать актуальную информацию о пользователях, имеющих возможность доступа к ней в определенный момент времени, а также оперативно сообщить хранителю о своем решении изменить порядок доступа к информации, которое будет обязательным для исполнения в установленные строки.
Этот механизм может быть реализован путем предоставления служебных записок, авторизационных писем, электронных сообщений от уполномоченного лица на специальный адрес электронной почты, администрирования списка лиц посредством совместного доступа к такому файлу и т. д.
В свою очередь, распорядитель информации, как правило, является ответственным сотрудником компании и отношения с ним строятся на основании стандартной субординации и служебной дисциплины. В этой части важно предусмотреть порядок исполнения указанных функций в служебной инструкции, письменном трудовом договоре с сотрудником либо отдельном приказе по предприятию, с которым он должен быть должным образом ознакомлен.
Переходя к заключительному звену в цепочке работы с информацией на предприятии — конечному пользователю — можно отметить, что именно оно часто является наиболее предрасположенным к утечке информации. Причин для такого явления не мало — от фактора отсутствия четкой процедуры доступа к информации и невозможности проследить источник разглашения, до банальной неудовлетворенности сотрудника условиями работы и желания «насолить» работодателю.
Не углубляясь в вопросы формирования лояльного отношения сотрудников к компании, остановимся исключительно на юридических аспектах взаимодействия с ними.
На наш взгляд, система отношений с пользователями конфиденциальной информации должна включать в себя такие элементы:
- во-первых, возможность четко идентифицировать пользователя.
Это позволяет воздержать недобросовестного сотрудника от противоправных действий с надеждой на затруднительность выявления такого факта, а также достоверно установить такое лицо в случае несанкционированных действий с информацией. Такая возможность может быть реализована путем фиксации факта доступа к секретному документу (например — получение и возврат под роспись), либо же официальное присвоение уникального логина каждому пользователю и фиксации IP-адреса его рабочего места (для работы с информацией в электронном виде);
- во-вторых, полное персональное разъяснение правил пользования конфиденциальной информацией компании.
Для этих целей необходимо:
1) официально ознакомить сотрудника с положением о коммерческой тайне предприятия и общей номенклатурой конфиденциальной информации;
2) официально уведомить сотрудника о том, к какой именно информации согласно номенклатуры ему предоставляется доступ;
3) заключить с сотрудником соглашение о неразглашении коммерческой тайны предприятия (приложение);
4) предусмотреть обязанность сотрудника соблюдать конфиденциальность в работе с информацией компании в трудовом договоре и должностной инструкции;
5) официально предупредить сотрудника об уголовной ответственности по статье 231 УК «Незаконный сбор с целью использования или использование сведений, составляющих коммерческую или банковскую тайну», статье 232 «Разглашение коммерческой или банковской тайны», статье 2321 «Незаконное использование инсайдерской информации», статье 3641 «Злоупотребление полномочиями должностным лицом юридического лица частного права независимо от организационно-правовой формы», статье 3651 «Превышение полномочий должностным лицом юридического лица частного права независимо от организационно-правовой формы» и т. д.
Приложение
ОБРАЗЕЦ
Соглашение о неразглашении коммерческой тайны
г. _______ «__» ________ 2014 г.
Общество с ограниченной ответственностью «АБВГД» (далее также — «Работодатель»), в лице директора Петрова Петра Петровича, действующего на основании устава, с одной стороны, и
гражданка Украины Иванова Ирина Ивановна (далее также — «Сотрудник») с другой стороны, заключили это соглашение о нижеследующем:
1 Сотрудник на период трудовых отношений с Работодателем (его правопреемником) и в течение 5 (пяти) лет после их окончания обязуется:
1.1. Не разглашать сведения, составляющие коммерческую тайну и конфиденциальную информацию Работодателя, предусмотренную в Положении о коммерческой тайне Работодателя, которая будет доверена Сотруднику, станет известна ему во время выполнения трудовых обязанностей или любым иным образом.
1.2. Не передавать третьим лицам и не раскрывать публично сведения, составляющие коммерческую тайну и конфиденциальную информацию Работодателя, без письменного согласия директора ООО «АБВГД» или уполномоченного им лица.
1.3. Тщательно выполнять требования приказов Положения о коммерческой тайне ООО «АБВГД», его администрации, должностных инструкций и условий трудового договора.
1.4. В случае попытки посторонних лиц получить от сведения, составляющие коммерческую тайну и конфиденциальную информацию Работодателя, избежать такого разглашения и безотлагательно сообщить о данном факте директора ООО «АБВГД».
1.5. Не использовать информацию, составляющую коммерческую тайну и конфиденциальную информацию Работодателя, для занятия любой деятельностью, которая может нанести ущерб Обществу в качестве конкурентной деятельности.
1.6. В случае прекращения трудовых отношений с Работодателем (независимо от причин) в течение трех дней с момента принятия решения о таком прекращении передать директору ООО «АБВГД» (или другому лицу по указанию директора) по акту приема -передачи все носители коммерческой тайны и конфиденциальной информации ООО «АБВГД» (в т. ч. магнитные и бумажные носители информации, включая рукописи, черновики, чертежи и т. п.; кино- и фотоматериалы, модели, изделия и т. п.), которые находились в распоряжении Сотрудника в связи с исполнением должностных обязанностей или по другим причинам.
1.7. Безотлагательно сообщать директору ООО «АБВГД» о потере носителей коммерческой тайны и конфиденциальной информации, удостоверений, пропусков, ключей (магнитных ключей) от помещений Работодателя (в том числе сейфов, шкафов), печатей и штампов Общества, о наличии других обстоятельств, которые могут привести к разглашению коммерческой тайны, а также о причинах и условиях возникновения таких фактов.
2. Сотрудник подтверждает, что он ознакомлен с Положением о коммерческой тайне ООО «АБВГД», а также ему даны разъяснения по всем интересующим его вопросам касательно предмета этого Соглашения.
3. Сотрудник подтверждает, что ему разъяснено, что нарушение условий о неразглашении коммерческой тайны Работодателя может повлечь за собой уголовную, дисциплинарную, гражданско-правовую или иную ответственность в соответствии с действующим законодательством Украины.
4. Сотрудник подтверждает, что он ознакомлен с положениями статей 231, 232, 2321, 3641, 3651 Уголовного кодекса Украины.
5. Это соглашение вступает в действие с момента его подписания и действует до истечения 5-летнего срока с момента прекращения трудовых отношений между Сторонами.
6. Это соглашение составлено в двух аналогичных экземплярах, имеющих равную юридическую силу, по одному для каждой из сторон.
Работодатель Сотрудник |
Отдельно стоит упомянуть об установлении видеонаблюдения в помещениях предприятия. Для предоставления ему легального статуса наблюдение должно вестись открыто (без маскировки видеокамеры под предметы интерьера), а персонал должен быть официально уведомлен об этом. Только в таком случае видеозапись какого-то нарушения со стороны сотрудника может быть использована в качестве доказательства.
С целью предотвращения возможных претензий со стороны посетителей помещений предприятия о нарушении их прав в местах проведения съемки также следует разместить соответствующие информационные таблички.
Таким образом, подводя итог всему, изложенному выше, следует констатировать, что эффективная система информационной безопасности предприятия вряд ли может быть простой. Создание ее юридической основы требует серьезной работы специалистов, а повседневное функционирование — тщательного и непреклонного выполнения установленного порядка всеми участниками процесса обработки информации.
Однако трудно не согласиться с мнением, что сохранение конфиденциальности по-настоящему важной информации требует соответствующих усилий и ресурсов.
Андрей Тригуб