Защита информации, содержащей коммерческую тайну
Прежде всего, нужно определить понятие информации, содержащей коммерческую тайну — это данные, которые фирма выделяет в произвольном порядке. Информация ограждается от третьих лиц и недоступна им. Именно в отношении этих данных устанавливают режим коммерческой тайны. Они могут быть:
Научно-техническими: информация об изобретениях, патентах; разработках, рационализаторских предложениях; методах увеличения производительности; стандартах безопасности, программном обеспечении, паролях. Технологическими и производственными: данные о чертежах; моделях; документации; рецептах; методиках; описаниях бизнес-процессов; производственных и маркетинговых планах, стратегиях, бизнес-планах; инвестиционных предложениях. Финансовыми: управленческий и финансовый учет; отчетные данные; себестоимость; формирование цен продукции и прочее. Бизнес: поставщики и подрядчики; клиенты; планирование и стратегии продаж; рекомендации по консалтингу и прочее.
Для улучшения организации системы доступа и минимизации риска утечки информацию ранжируют по уровням конфиденциальности:
Таким образом, чем больше ценность сведений – тем меньше круг сотрудников, которым она доступна.
Для того, чтобы пользоваться предусмотренными законом возможностями для защиты, компанией должен быть выделен объем данных подпадающих под режим тайны и установлен режим конфиденциальности. При дальнейшей деятельности компания имеет право требовать от своих сотрудников и контрагентов соответствия требованиям по защите сведений и привлекать к ответственности за их разглашение.
Метод защиты существенно зависит от возможных угроз. Они могут быть внешними и внутренними. Внешние – это конкуренты, субъекты, которые могут применять полученную информацию для борьбы за активы компании. Внутренние – персонал, который может продать вверенную им информацию, использовать ее в своих коммерческих проектах, или распространять ее для нанесения вреда бизнесу. Определить угрозы иногда бывает достаточно сложно. В таких случаях имеет смысл обратиться к квалифицированному детективному агентству для выявления потенциальных путей утечки.
Меры по защите
Меры по защите могут быть административно-организационными, техническими и правовыми.
Административно-организационные меры: прежде всего, нацеливаются на информирование персонала, создание внутренней нормативной базы и службы безопасности. Наличие развитой нормативной базы значительно упростит привлечение к ответственности виновного, в случае разглашения информации.
Технические меры: защитное программное обеспечение, предупреждающее несанкционированное копирование и передачу данных, нарушение информационного периметра. Широко распространены DLP и SIEM системы. DLP-система позволяет практически исключить внутренние утечки информации. SIEM-система выявляет угрожающие защите факторы и идентифицирует разные случаи нарушений безопасности. Это делает возможным эффективно управление и расчёт рисков в отношении внешней защиты.
Правовые меры:
Если утечки данных избежать не удалось, необходимо наказать виновного и возместить ущерб, нанесенный компании в судебном порядке. Порой найти ответственного за распространение сведений и доказать его виновность внутренними силами компании крайне сложно. В такой ситуации результативным будет обращение к частному детективу.