Меры по охране конфиденциальности информации
Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
1. определение перечня информации, составляющей коммерческую тайну (Перечень утверждается приказом);
2. ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка (Положение о конфиденциальности – утверждается приказом);
3. учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана (Перечень лиц, допущенных к коммерческой тайне – утверждается приказом);
4. регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров (Приложение к трудовому договору);
5. Кроме того, следует разработать должностные инструкции, где должны быть прописаны пределы полномочий каждого работника;
6. нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна". При этом на материальных носителях указывается обладатель этой информации (для юридических лиц - полное наименование и место нахождения).
Только после принятия указанных мер режим коммерческой тайны считается установленным. Вместе с тем наряду с такими мерами обладатель информации, составляющей коммерческую тайну, вправе при необходимости применять другие не противоречащие законодательству Российской Федерации средства и методы технической защиты конфиденциальности этой информации.
Меры по охране конфиденциальности информации признаются разумно достаточными, если:
∙ исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
∙ обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.
Конфиденциальное делопроизводство определяется как деятельность, обеспечивающая документирование, организацию работы с конфиденциальными документами и защиту содержащейся в них информации.
Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите.
Особенностью конфиденциального документа является то, что он представляет собой одновременно не только саму информацию – обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и утечки. То есть конфиденциальна, прежде всего, информация, а уже затем становятся конфиденциальными и документы, в которых эта информация зафиксирована.
Конфиденциальное делопроизводство в целом базируется на тех же принципах, что и открытое делопроизводство, но имеет существенные отличия, обусловленные конфиденциальностью документированной информации. Эти отличия касаются как сферы конфиденциального делопроизводства, так и видов и содержания работ с документами.
По видам работ конфиденциальное делопроизводство отличается от открытого большим их количеством и технологией выполнения многих видов работ. Обусловлено это главным образом третьей составляющей конфиденциального делопроизводства – защитой содержащейся в конфиденциальных документах информации.
Из сферы действия конфиденциального делопроизводства вытекают и его задачи:
1) документационное обеспечение всех видов конфиденциальной деятельности;
2) защита документированной информации, образующейся в процессе конфиденциальной деятельности.
Полноту документной информации характеризует ее объем, который, с одной стороны, должен быть достаточным для принятия управленческих решений и выполнения производственных заданий, с другой стороны, являться действительно необходимым, не содержащим избыточной, не нужной для деятельности предприятия информации.
Достоверность документной информации заключается, во-первых, в ее соответствии объективному состоянию того или другого вопроса и, во-вторых, в ее юридической силе, характеризующейся наличием и правильностью оформления соответствующих реквизитов.
Своевременность документной информации означает, что за время обработки и передачи информации не изменилось состояние вопроса, к которому она относится.
Организация исполнения документов включает в себя и оперативное доведение их до исполнителей, и обеспечение своевременного и качественного решения содержащихся в документах вопросов.
Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.
DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.
Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введённых меток, сравнением хэш-функции) и анализом контента. Первый способ позволяет избежать ложных срабатываний (ошибок первого рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки второго рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов. В хороших DLP-системах оба способа сочетаются.
Кроме основной перед DLP-системой могут стоять и вторичные (побочные) задачи. Они таковы:
· архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;
· предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т.п.);
· предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы;
· предотвращение использования работниками казённых информационных ресурсов в личных целях;
· оптимизация загрузки каналов, экономия трафика;
· контроль присутствия работников на рабочем месте;
· отслеживание благонадёжности сотрудников, их политических взглядов, убеждений, сбор компромата.