Клерк.Ру

Как не допустить слива информации о компании, и что делать, если это произошло

Утечка важной информации сегодня обходится компаниям дороже, чем кража имущества. По данным Infowatch, самый крупный случай утечки данных организаций в 2016 году произошел в ОАЭ, где сотрудник финансовой компании предположительно нанес ущерб департаменту экономического развития ОАЭ, оценённый в 8,3 млн дирхамов (более 183 млн руб.).

Всего за прошлый год в СМИ были опубликованы данные о 213 случаях утечки информации в российских компаниях и государственных учреждениях. В действительности ситуация является ещё более плачевной, так как далеко не каждая компания способна обнаружить утечку.

Что делать? Шесть шагов

Шаг первый. Прежде всего, следует разработать и внедрить нормативные акты о защите конфиденциальной информации и коммерческой тайны компании.

В этих документах прописать регламент и правила работы с конфиденциальной информацией, а также ответственность сотрудников, в случае её утечки, намеренного разглашения или использования её во вред компании.

Согласно исследованиям, виновными в утечке информации в 68% случаев являются сотрудники, поэтому ещё на этапе приёма на работу проинформируйте персонал о принятых в компании требованиях, включите пункт о соблюдении информационной безопасности в должностную инструкцию.

Каждый сотрудник, имеющий отношение к секретной информации, должен письменно подтвердить ознакомление с положением. Заключайте и храните соглашения о неразглашении конфиденциальной информации с субподрядчиками. Убедитесь, что в документе указаны ответственные лица и стоят их подписи и даты.

Шаг второй. Введите режим коммерческой тайны в соответствии с законом N 98-ФЗ «О коммерческой тайне».

Шаг третий. Разграничьте доступ к информации и полномочия персонала по принципу китайской стены, например, «частная сторона» — сотрудники, которые в силу своих обязанностей имеют доступ к непубличной информации и «публичная сторона» — сотрудники, которые этого доступа не имеют.

Не позволяйте персоналу знакомиться с полной картиной конфиденциальной информации, если это не требуется для выполнения должностных обязанностей. Например, менеджеров, работающих с государственными заказчиками, ограничьте от информации о частных заказчиках, которая не относится к их сфере деятельности, и наоборот.

Шаг четвертый. Поддерживайте корпоративную культуру с нулевой толерантностью к противоправным действиям.

Сотрудники должны понимать, что работа на конкурентном рынке требует от них соблюдения дополнительных правил и условий работы. Доводите до сведения персонала информацию о фактах наказания или увольнения сотрудников, виновных в нарушении положения о защите коммерческой тайны. При этом, чтобы сохранить конфиденциальность, не следует упоминать персональные данные информатора и детали произошедшего.

Шаг пятый. При создании системы информационной безопасности следуйте принципам непрерывности, своевременности и целесообразности.

По опыту, большинство руководителей предпринимают защитные меры только после того, как кризис уже произошел, в то время как принципы непрерывности и своевременности предполагают, что система работает постоянно, анализируется и совершенствуется.

Также не следует забывать об экономической эффективности — затраты на обеспечение безопасности должны быть сопоставимы с суммой возможного ущерба.

Шаг шестой. Если доступ к ценной информации нужен для работы большому количеству людей, дайте задачу ИТ-службе установить фильтры на отправку информации онлайн и сторонние адреса электронной почты: при необходимости вы сможете отследить, какие файлы, кто и куда отправлял. Факты отправки тяжелых файлов на сторонние адреса должны оперативно проверяться.

Правила введения режима коммерческой тайны

Вводить режим коммерческой тайны необходимо в соответствии со строгими правилами, иначе вы рискуете в случае нарушения оставить виновного безнаказанным.

Прежде всего, составьте точный перечень информации, которая является коммерческой тайной именно для вашей компании, например, маркетинговая стратегия, данные о поставщиках и клиентах. Это условие является необходимым для введения режима, а также позволяет облегчить работу как руководителю, так и подчинённым. В противном случае сотрудники смогут раскрыть секретные данные, даже об этом не догадываясь.

Затем подготовьте регламент ограничения доступа к коммерческой тайне, все документы этой категории должны быть промаркированы соответствующим грифом с указанием полного наименования и местонахождения.

Лица, имеющие доступ к коммерческой тайне, должны быть указаны в соответствующем приказе. Не забывайте включать пункт о неразглашении в каждый трудовой договор и контракт с подрядчиками.

Помните, что не вся информация в соответствии с законом может считаться тайной, например, численность персонала, финансовая отчётность, информация о правонарушениях. Это значит, что если конкуренты или бывшие сотрудники предадут её огласке, вы не сможете отстоять свои права в суде.

Каждый пятый сотрудник готов продать пароль от своей рабочей почты.

Если утечка уже произошла

Во-первых, необходимо удостовериться в том, что утечка информации произошла именно в результате действий сотрудника компании. Установите период времени утечки информации, исходя из чего, обозначьте круг лиц, имевших к ней доступ.  Далее, по степени вероятности причастности сотрудника к утечке (начиная с наибольшей) проведите тестирование с помощью «полиграфа».

Другой способ, более сложный — предоставить проверяемым сотрудникам индивидуальную информацию и отслеживать, какая новость первой станет известной коллективу.

Параллельно с этим шагом следует проверить, имеется ли доступ к информации извне, чтобы исключить вероятность хакерской атаки.

Чтобы верно принять решение о дальнейшей судьбе виновного в утечке работника, необходимо взвесить реальную стоимость сотрудника для компании и соотнести её с причинённым ущербом.

Мера наказания будет зависеть от того, был ли у информатора умысел или утечка произошла по неосторожности. Как правило, дело заканчивается увольнением, в некоторых случаях — выплатой крупного штрафа.

В случае грамотного введения режима коммерческой тайны, закон всегда находится на стороне компании.