Клерк.Ру

Как не допустить слива информации о компании, и что делать, если это произошло

Утечка важной информации сегодня обходится компаниям дороже, чем кража имущества. По данным Infowatch, самый крупный случай утечки данных организаций в 2016 году произошел в ОАЭ, где сотрудник финансовой компании предположительно нанес ущерб департаменту экономического развития ОАЭ, оценённый в 8,3 млн дирхамов (более 183 млн руб.).

Всего за прошлый год в СМИ были опубликованы данные о 213 случаях утечки информации в российских компаниях и государственных учреждениях. В действительности ситуация является ещё более плачевной, так как далеко не каждая компания способна обнаружить утечку.

Что делать? Шесть шагов

Шаг первый. Прежде всего, следует разработать и внедрить нормативные акты о защите конфиденциальной информации и коммерческой тайны компании.

В этих документах прописать регламент и правила работы с конфиденциальной информацией, а также ответственность сотрудников, в случае её утечки, намеренного разглашения или использования её во вред компании.

Согласно исследованиям, виновными в утечке информации в 68% случаев являются сотрудники, поэтому ещё на этапе приёма на работу проинформируйте персонал о принятых в компании требованиях, включите пункт о соблюдении информационной безопасности в должностную инструкцию.

Каждый сотрудник, имеющий отношение к секретной информации, должен письменно подтвердить ознакомление с положением. Заключайте и храните соглашения о неразглашении конфиденциальной информации с субподрядчиками. Убедитесь, что в документе указаны ответственные лица и стоят их подписи и даты.

Шаг второй. Введите режим коммерческой тайны в соответствии с законом N 98-ФЗ «О коммерческой тайне».

Шаг третий. Разграничьте доступ к информации и полномочия персонала по принципу китайской стены, например, «частная сторона» — сотрудники, которые в силу своих обязанностей имеют доступ к непубличной информации и «публичная сторона» — сотрудники, которые этого доступа не имеют.

Не позволяйте персоналу знакомиться с полной картиной конфиденциальной информации, если это не требуется для выполнения должностных обязанностей. Например, менеджеров, работающих с государственными заказчиками, ограничьте от информации о частных заказчиках, которая не относится к их сфере деятельности, и наоборот.

Шаг четвертый. Поддерживайте корпоративную культуру с нулевой толерантностью к противоправным действиям.

Сотрудники должны понимать, что работа на конкурентном рынке требует от них соблюдения дополнительных правил и условий работы. Доводите до сведения персонала информацию о фактах наказания или увольнения сотрудников, виновных в нарушении положения о защите коммерческой тайны. При этом, чтобы сохранить конфиденциальность, не следует упоминать персональные данные информатора и детали произошедшего.

Шаг пятый. При создании системы информационной безопасности следуйте принципам непрерывности, своевременности и целесообразности.

По опыту, большинство руководителей предпринимают защитные меры только после того, как кризис уже произошел, в то время как принципы непрерывности и своевременности предполагают, что система работает постоянно, анализируется и совершенствуется.

Также не следует забывать об экономической эффективности — затраты на обеспечение безопасности должны быть сопоставимы с суммой возможного ущерба.

Шаг шестой. Если доступ к ценной информации нужен для работы большому количеству людей, дайте задачу ИТ-службе установить фильтры на отправку информации онлайн и сторонние адреса электронной почты: при необходимости вы сможете отследить, какие файлы, кто и куда отправлял. Факты отправки тяжелых файлов на сторонние адреса должны оперативно проверяться.

Правила введения режима коммерческой тайны

Вводить режим коммерческой тайны необходимо в соответствии со строгими правилами, иначе вы рискуете в случае нарушения оставить виновного безнаказанным.

Прежде всего, составьте точный перечень информации, которая является коммерческой тайной именно для вашей компании, например, маркетинговая стратегия, данные о поставщиках и клиентах. Это условие является необходимым для введения режима, а также позволяет облегчить работу как руководителю, так и подчинённым. В противном случае сотрудники смогут раскрыть секретные данные, даже об этом не догадываясь.

Затем подготовьте регламент ограничения доступа к коммерческой тайне, все документы этой категории должны быть промаркированы соответствующим грифом с указанием полного наименования и местонахождения.

Лица, имеющие доступ к коммерческой тайне, должны быть указаны в соответствующем приказе. Не забывайте включать пункт о неразглашении в каждый трудовой договор и контракт с подрядчиками.

Помните, что не вся информация в соответствии с законом может считаться тайной, например, численность персонала, финансовая отчётность, информация о правонарушениях. Это значит, что если конкуренты или бывшие сотрудники предадут её огласке, вы не сможете отстоять свои права в суде.

Каждый пятый сотрудник готов продать пароль от своей рабочей почты.

Если утечка уже произошла

Во-первых, необходимо удостовериться в том, что утечка информации произошла именно в результате действий сотрудника компании. Установите период времени утечки информации, исходя из чего, обозначьте круг лиц, имевших к ней доступ.  Далее, по степени вероятности причастности сотрудника к утечке (начиная с наибольшей) проведите тестирование с помощью «полиграфа».

Другой способ, более сложный — предоставить проверяемым сотрудникам индивидуальную информацию и отслеживать, какая новость первой станет известной коллективу.

Параллельно с этим шагом следует проверить, имеется ли доступ к информации извне, чтобы исключить вероятность хакерской атаки.

Чтобы верно принять решение о дальнейшей судьбе виновного в утечке работника, необходимо взвесить реальную стоимость сотрудника для компании и соотнести её с причинённым ущербом.

Мера наказания будет зависеть от того, был ли у информатора умысел или утечка произошла по неосторожности. Как правило, дело заканчивается увольнением, в некоторых случаях — выплатой крупного штрафа.

В случае грамотного введения режима коммерческой тайны, закон всегда находится на стороне компании.

Мнения

Вот это удача! Да это же отличный шанс стать первым, кто прокомментирует этот материал!

Упс, комментировать могут только зарегистрированные пользователи. Пожалуйста, .