Інформаційна безпека підприємства займає одну з лідируючих позицій серед чинників його успішної роботи. Від рівня такої безпеки багато в чому залежать шанси компанії впоратися із зовнішніми загрозами. Проте нерідко "удару" може бути завданий з тилу - причиною витоку стратегічно важливій для фірми інформації можуть стати колишні або діючі співробітники. Мета цієї публікації полягає в пропозиції читачеві деяких практичних рекомендацій по формуванню або оптимізації системи інформаційної безпеки підприємства.
У першій частині публікації ми розповіли про інформацію і її види. Отже, перейдемо до наступного елементу системи інформаційної безпеки - "дійових осіб".
Учасники процесу роботи з конфіденційною інформацією
До учасників процесу роботи з конфіденційною інформацією, на наш погляд, відносяться:
1. власник інформації - особа, яка створила певну інформацію або законно отримала права на неї. Як правило, таким власником виступає само підприємство;
2. хранитель інформації - власник інформаційної системи (наприклад - серверного устаткування і каналів зв'язку з ним), а також власник місця фізичного зберігання документації (наприклад - банк, в якому відкритий банківський осередок або ж довірений адвокат, що надає правову допомогу компанії і зберігає її важливу документацію). Ще однією ланкою, тісно пов'язаною з хранителем або замінюючою його, може бути розпорядник інформацією - особа, відповідальна не лише за зберігання інформації, але і її адміністрування (наприклад - начальник структурного підрозділу компанії, який контролює доступ співробітників такого підрозділу до увіреної йому інформації);
3. користувач - особа, яка безпосередньо працює з інформацією.
Говорячи про власника тієї або іншої інформації, слід пам'ятати, що для діставання можливості законно вимагати виконання певного порядку використання інформації або ж забороняти таке використання необхідно, щоб власник сам володів цією інформацією на законних підставах.
Побудова системи інформаційної безпеки в частині нелегальної інформації - не можливо у рамках правового поля і не є предметом нашого дослідження.
Якщо ж власник і хранитель інформації не об'єднані в одній особі, то стосунки між ними, як правило, регулюються договором. Слід зазначити, що умови такого договору мають велике значення. При їх підготовці особливу увагу слід звертати на перелік обов'язків хранителя інформації з тим, щоб у останнього не залишалося юридичної можливості не нести відповідальність за певні долі зберігання (рухи) інформації, а також тимчасові періоди роботи з нею.
|
Андрій Тригуб |
Крім того, можна рекомендувати передбачати в договорах з хранителями інформації їх конкретну відповідальність за порушення умов договору. Хоча потрібно пам'ятати, що штрафні санкції, передбачені договором, не завжди є ефективним стимулом до належного виконання його умов. Тому, в таких ситуаціях доцільно передбачати додаткові важелі впливу на хранителя інформації (наприклад - право зменшити плату за його послуги у разі порушень договору і так далі).
Також потрібно пам'ятати, що хранитель інформації виконує активну роль в процесі взаємодії з розпорядниками і користувачами інформацією, оскільки саме він здійснює безпосереднє спілкування з останніми.
Таким чином, укладаючи договір між власником і хранителем інформації, важливо передбачити ефективну і зручну процедуру авторизації інших учасників процесу - повідомлення хранителя про дозвіл власника на здійснення певних дій з інформацією для конкретної особи. Це дозволить власникові інформації отримувати актуальну інформацію про користувачів, що мають можливість доступу до неї в певний момент часу, а також оперативно повідомити хранителя про своє рішення змінити порядок доступу до інформації, яке буде обов'язковим для виконання у встановлені рядки.
Цей механізм може бути реалізований шляхом надання службових записок, авторизаційних листів, електронних повідомлень від уповноваженої особи на спеціальну адресу електронної пошти, адміністрування списку осіб за допомогою спільного доступу до такого файлу і так далі
У свою чергу, розпорядник інформаціїяк правило, є відповідальним співробітником компанії і відношення з ним будуються на підставі стандартної субординації і службової дисципліни. У цій частині важливо передбачити порядок виконання вказаних функцій в службовій інструкції, письмовому трудовому договорі із співробітником або окремому наказі по підприємству, з яким він має бути належним чином ознайомлений.
Переходячи до завершальної ланки в ланцюжку роботи з інформацією на підприємстві - кінцевому користувачеві - можна відмітити, що саме воно часто є найбільш схильним до просочування інформації. Причин для такого явища не мало - від чинника відсутності чіткої процедури доступу до інформації і неможливості простежити джерело розголошування, до банального незадоволення співробітника умовами роботи і бажання "насолити" працедавцеві.
Не поглиблюючись в питання формування лояльного відношення співробітників до компанії, зупинимося виключно на юридичних аспектах взаємодії з ними.
На наш погляд, система стосунків з користувачами конфіденційної інформації повинна включати такі елементи:
- по-перше, можливість чітко ідентифікувати користувача.
Це дозволяє воздержать недобросовісного співробітника від протиправних дій з надією на скрутність виявлення такого факту, а також достовірно встановити таку особу у разі несанкціонованих дій з інформацією. Така можливість може бути реалізована шляхом фіксації факту доступу до секретного документу (наприклад - отримання і повернення під розпис), або ж офіційне привласнення унікального логіна кожному користувачеві і фіксації IP- адреси його робочого місця (для роботи з інформацією в електронному вигляді);
- по-друге, повне персональне роз'яснення правил користування конфіденційною інформацією компанії.
Для цих цілей необхідно (1) офіційно ознайомити співробітника з положенням про комерційну таємницю підприємства і загальною номенклатурою конфіденційної інформації; (2) офіційно повідомити співробітника про те, до якої саме інформації згідно номенклатури йому надається доступ; (3) укласти із співробітником угоду про нерозголошування комерційної таємниці підприємства (зразок см у кінці матеріалу); (4) передбачити обов'язок співробітника дотримувати конфіденційність в роботі з інформацією компанії в трудовому договорі і посадовій інструкції; (5) офіційно попередити співробітника про карну відповідальність по статті 231 "Незаконний збір з метою використання або використання відомостей, що становлять комерційну або банківську таємницю", статті 232 "Розголошування комерційної або банківської таємниці", статті 2321 "Незаконне використання инсайдерской інформації", статті 3641 "Зловживання повноваженнями посадовцем юридичної особи частки права незалежно від організаційно-правової форми", статті 3651 "Перевищення повноважень посадовцем юридичної особи частки права незалежно від організаційно-правової форми" і так далі
Окремо варто згадати про встановлення відеоспостереження в приміщеннях підприємства. Для надання йому легального статусу спостереження повинне вестися відкрито (без маскування відеокамери під предмети інтер'єру), а персонал має бути офіційно повідомлений про це. Тільки у такому разі відеозапис якогось порушення з боку співробітника може бути використаний в якості доказу.
З метою запобігання можливим претензіям з боку відвідувачів приміщень підприємства про порушення їх прав в місцях проведення зйомки також слід розмістити відповідні інформаційні таблички.
Таким чином, підводячи підсумок усьому, викладеному вище, слід констатувати, що ефективна система інформаційної безпеки підприємства навряд чи може бути простій. Створення її юридичної основи вимагає серйозної роботи фахівців, а повсякденне функціонування - ретельного і непохитного виконання встановленого порядку усіма учасниками процесу обробки інформації.
Проте, важко не погодитися з думкою, що збереження конфіденційності по-справжньому важливої інформації вимагає відповідних зусиль і ресурсів.
Андрій Тригуб,
адвокат, Адвокатське об'єднання "Адвокатська контора "Скляренко і партнери"
ЗРАЗОК
Угода про нерозголошування комерційної таємниці
р. ____ "__" ________ 2014 р.
Товариство з обмеженою відповідальністю "АБВГД" (далі також - "Працедавець"), в особі директора Петрова Петра Петровича, діючого на підставі статуту, з одного боку, і
громадянка України Іванова Ірина Іванівна (далі також - "Співробітник") з іншого боку, уклали цю угоду про нижченаведене:
1 Співробітник на період трудових стосунків з Працедавцем (його правонаступником) і впродовж 5 (п'яти) років після їх закінчення зобов'язується:
1.1 не розголошувати відомості, що становлять комерційну таємницю і конфіденційну інформацію Працедавця, передбачену в Положенні про комерційну таємницю Працедавця, яка буде довірена Співробітникові, стане відома йому під час виконання трудових обов'язків або будь-ким іншим чином;
1.2 не передавати третім особам і не розкривати публічно відомості, що становлять комерційну таємницю і конфіденційну інформацію Працедавця, без письмової згоди директора ТОВ "АБВГД" або уповноваженого ним особи ;
1.3 ретельно виконувати вимоги наказів Положення про комерційну таємницю ТОВ "АБВГД", його адміністрації, посадових інструкцій і умов трудового договору;
1.4 у разі спроби сторонніх осіб отримати від зведення, що становлять комерційну таємницю і конфіденційну інформацію Працедавця, уникнути такого розголошування і невідкладно повідомити про цей факт директора ТОВ "АБВГД";
1.5 не використовувати інформацію, що становить комерційну таємницю і конфіденційну інформацію Працедавця, для заняття будь-якою діяльністю, яка може завдати збитку Суспільству в якості конкурентної діяльності;
1.6 у разі припинення трудових стосунків з Працедавцем (незалежно від причин) впродовж трьох днів з моменту ухвалення рішення про таке припинення передати директорові ТОВ "АБВГД" (чи іншій особі за вказівкою директора) по акту прийому -передачи усі носії комерційної таємниці і конфіденційної інформації ТОВ "АБВГД" (в т.ч. магнітні і паперові носії інформації, включаючи рукописи, чернетки, креслення і т. п.; кіно- і фотоматеріали, моделі, вироби і тому подібне), які знаходилися у розпорядженні Співробітника у зв'язку з виконанням посадових обов'язків або з інших причин;
1.7 невідкладно повідомляти директора ТОВ "АБВГД" про втрату носіїв комерційної таємниці і конфіденційної інформації, посвідчень, пропусків, ключів (магнітних ключів) від приміщень Працедавця (у тому числі сейфів, шаф), друку і штампів Суспільства, про наявність інших обставин, які можуть привести до розголошування комерційної таємниці, а також про причини і умови виникнення таких фактів.
2 Співробітник підтверджує, що він ознайомлений з Положенням про комерційну таємницю ТОВ "АБВГД", а також йому дані роз'яснення з усіх питань, що цікавлять його, стосовно предмета цієї Угоди.
3 Співробітник підтверджує, що йому роз'яснене, що порушення умов про нерозголошування комерційної таємниці Працедавця може спричинити карну, дисциплінарну, цивільно-правову або іншу відповідальність відповідно до чинного законодавства України.
4 Співробітник підтверджує, що він ознайомлений з положеннями статей 231, 232, 232136413651 Карного кодексу України.
5 Ця угода вступає в дію з моменту його підписання і діє до закінчення 5-річного терміну з моменту припинення трудових стосунків між Сторонами.
6 Ця угода складена в двох аналогічних екземплярах, що мають рівну юридичну силу, по одному для кожної із сторін.
Працедавець Співробітник
