Консультации экспертов по вопросам защиты бизнеса

Наши сайты Линия консультаций +7 (495) 748-02-22
7000@7000.ru

Конфиденциальная информация

Конфиденциальная информация

Режим работы при разработке ноу-хау

 

Добравшись до конфиденциальной информации конкурента можно получить сведения, предоставляющие ощутимое преимущество. Например, утечка данных о планах застройки может привести к значительному увеличению закупочной цены на целевые участки земли, что обернется прямыми убытками для застройщика. В случае доступа к интеллектуальной собственности, еще не защищенной патентом, конкурент может присвоить эти разработки себе. В конце концов, многие недобросовестные компании с целью экономии средств и времени на развитие собственного производства, пытаются выкрасть сведения о технологиях конкурентов. В таких случаях защищать информацию необходимо исходя из экономических соображений.

 

Угрозы информационной безопасности

Так от чего же предстоит защищать секрет производства? От угроз конфиденциальности информации, ее целостности и доступности. В случае реализации первых информация оказывается известна посторонним, вторых – происходит несанкционированное изменение данных, приводящее к утрате ими достоверности, а при нарушении доступности создается риск утери информации или ее актуальности.

Источники угроз бывают внутренние и внешние. Их характер хорошо описан в «Суждениях об информационной безопасности мудреца и учителя Инь Фу Во»:

«Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:

– Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.

Ещё Учитель сказал:

– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились».

Возможные сценарии атаки зависят от:

  • ценности защищаемой информации, определяющей уровень возможного интереса к ней со стороны злоумышленников;
  • объектов защиты – программных и технических средств обработки данных;
  • модели нарушителя, описывающей возможности злоумышленника;
  • модели угроз – перечня угроз, актуальных для конкретной системы, для нейтрализации которых требуется принятие мер защиты.

Например, довольно часто злоумышленники используют почтовую рассылку, имитирующую привычные для сотрудников организации сообщения. Во вложениях к таким письмам содержатся специальным образом сформированные файлы, эксплуатирующие уязвимости в программном обеспечении, использующемся для их обработки. При открытии вложений происходит заражение пользовательского компьютера вредоносным программным обеспечением, предоставляющим удаленный доступ злоумышленнику. Далее, в зависимости от целей злоумышленника, происходит заражение других компьютеров либо атака на серверы с КИ.

Еще более распространён сценарий с внутренним нарушителем, когда сотрудник компании с использованием служебного положения получает легитимный доступ определённого уровня (на территорию контролируемой зоны, к информационным ресурсам и т.д.) и использует его для извлечения сведений, которые рассчитывает в дальнейшем передать третьим лицам.

При реализации любого из сценариев противодействие злоумышленникам начинается с проведения служебного расследования. Далее возможны варианты: если в случае с внешним злоумышленником нам, как правило, доступны только меры судебного воздействия, то с собственным сотрудником возможно досудебное разрешение инцидента. На практике обычно представлено следующими мерами.

  • Так называемое, «профилактическое воздействие в рабочем порядке». Используется в случаях непреднамернного создания угрозы утечки информации. Например, при отправке КИ по открытым каналам связи без принятия необходимых мер защиты. Дает возможность напомнить нарушителю о возможных последствиях его действий, не перенося вопрос в плоскость конфликта с руководством.
  • Официальное уведомление об инциденте руководителя сотрудника, допустившего нарушение. Используется в аналогичных случаях, имеющих более серьезные последствия или возникших повторно. Решение о мерах воздействия на нарушителя остаётся за его руководителем.
  • Доклад высшему руководству. Необходим в крайних случаях, когда требуется не только решение о мерах взыскания к конкретному сотруднику, но и более глобальные управленческие решения, призванные предотвратить повторение подобных инцидентов в дальнейшем или снизить возможный ущерб от случившегося. Например, в ситуации, когда произошла серьезная утечка, руководитель может сделать оргвыводы и принять решение об изменении структуры производства или направления дальнейших исследований для сохранения конкурентных преимуществ.

 

Технические средства защиты

На сегодняшний день на рынке представлен широкий спектр как программных, так и программно-аппаратных комплексов, реализующих различные механизмы защиты. Сами по себе такие системы не обеспечат надежную защиту, однако являются обязательным элементом сложной конструкции под названием «информационная безопасность».

Для наглядности рассмотрим многоуровневую систему защиты, которая могла бы противостоять злоумышленникам, реализующим сценарий атаки из приведенного выше примера.

  1. Антивирусная защита почтового сервера для выявления вредоносного кода во вложениях почтовых сообщений ещё до их попадания на рабочие станции пользователей.
  2. Антивирусная защита рабочих станций для предотвращения запуска пользователем зараженного файла.
  3. Система централизованного обновления программного обеспечения для снижения вероятности успешного использования уязвимостей для проникновения и повышения привилегий атакующего.
  4. Ограничение пользовательских привилегий для уменьшения возможностей, получаемых злоумышленниками при захвате рабочих станций.
  5. Организация безопасного доступа к сети Интернет (например, с помощью технологий терминального доступа) для затруднения взаимодействия злоумышленников с зараженными рабочими станциями.
  6. Межсетевое экранирование для предотвращения получения контроля над другими объектами информационной инфраструктуры организации.
  7. Шифрование конфиденциальной информации для затруднения доступа к ней злоумышленников.
  8. Резервное копирование для восстановления данных, утраченных вследствие атаки.

В дополнение к перечисленным средствам возможно использование систем обнаружения вторжений, способных выявить признаки атаки на любом её этапе для принятия оперативных мер противодействия.

Однако не следует забывать о том, что для эффективной работы технических средств защиты нужен квалифицированный персонал, способный грамотно настроить оборудование и программное обспечение, а также принять необходимые меры по противодействию атакам и устранению их последствий.

 

Правовой аспект защиты ценной информации

Понятие «ноу-хау» или «секрет производства» определено Гражданским кодексом РФ. Для того чтобы сведения попадали под это определение, необходимо выполнение трех условий. Во-первых, они должны иметь действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам. Во-вторых, посторонние не должны иметь свободный доступ к таким сведениям на законных основаниях – объявить секретом производства данные публикуемой отчетности не выйдет. В-третьих, обладатель таких сведений обязан ввести и соблюдать режим коммерческой тайны по отношению к ним.

Получается, что, закон не признает даже самые ценные сведения как ноу-хау (и это логично: что не охраняется – не может быть секретом), если руководство компании не приняло ряд организационных и технических мер, а именно следующие.

  1. Разработка перечня конфиденциальной информации (далее КИ). На данном этапе необходимо решить, какая конкретно информация подлежит защите, какие именно секреты производства не должны стать известны третьим лицам. При этом следует учитывать ограничения, накладываемые Федеральным законом РФ № 98 «О коммерческой тайне», где перечислены сведения, в отношении которых не может быть установлен такой режим (статья 5).

 

  1. Ограничение доступа к КИ. Самый важный этап, на котором предстоит определить:
  • порядок присвоения и снятия грифа конфиденциальности (реквизита, отличающего конфиденциальные документы от обычных);
  • правила работы с конфиденциальными документами;
  • способы обеспечения безопасности информации при проведении различных мероприятий (совещания, переговоры, публичные выступления и т.д.);
  • порядок передачи КИ органам власти;
  • технические меры защиты информации;
  • порядок контроля реализации принятых мер по защите КИ.

 

  1. Учёт носителей КИ. Здесь речь идёт как об учёте материальных носителей (документы, съемные накопители информации и т.д.), так и лиц, получивших доступ к КИ.

Материальные носители подлежат обязательной маркировке и учёту в специальных журналах, где указываются их учётные номера, объём информации, дата и время передачи ответственному лицу, а также ФИО и должность лица, получившего носитель КИ.

Учитываются все лица, получившие доступ к КИ: как сотрудники предприятия, так и сторонних организаций или госорганов. Для учёта сотрудников создаётся номенклатура должностей, назначение на которые предоставляет право доступа к КИ.

Цель этих мероприятий – документальное подтверждение фактов ознакомления с секретом производства, а также – контроль тиражирования этой информации.

 

  1. Правовое регулирование использования КИ. Необходимо заключать соглашения о конфиденциальности с сотрудниками предприятия, чьи должности предполагают доступ к КИ. Ссылки на эти договоры указываются во всех документах, изменяющих уровень доступа сотрудников к КИ, в том числе – в трудовых договорах. Соглашения о конфиденциальности, описывающие права и обязанности сторон при работе с КИ, заключаются и с контрагентами, взаимодействие с которыми предполагает передачу такой информации.

Все эти меры призваны закрепить юридическую ответственность за физическими и юридическими лицами, получившими доступ к секрету производства. Подробнее узнать об этом можно в других наших статьях.

 

Знание – сила

            Что еще можно противопоставить злоумышленникам? В дополнение к рассмотренным выше органиационно-правовым мерам защиты хочется добавить одно очень важное, но зачастую недооцененное средство противодействия – обучение персонала. Ведь любая атака на технические средства всегда начинается со сбора информации, который не обходится без методов социальной инженерии. Да и сценарии начала проникновения, как в приведенном примере, зачастую основываются на использовании доверчивости сотрудников атакуемого объекта. Обучение преследует следующие цели:

  • мотивация на сотрудничество с подразделением информационной безопасности (смена распространенного отношения к требованиям защиты информации как к параноидальным фантазиям «безопасников», мещающим работать, на понимание того, что информационная безопасность – это необходимый комплексный процесс, успех которого зависит от вазимопонимания и эффективного взаимодействия всех его участников);
  • повышение осведомленности о возможных действиях злоумышленников и о мерах противодействия, которые необходимо предпринимать сотрудникам в рамках своей компетенции;
  • повышение бдительности при выявлении предпосылок повышения вероятности проведения атаки.

В заключение снова хотелось бы отметить, что люди – ключевое звено в любой системе информационной безопасности. Одновременно самое слабое ее звено, наиболее подверженное уязвимостям, и самое сильное, способное выявить и отразить атаки противника, имеющего техническое превосходство.




Комментарии


Комментарии отсутсвуют

Оставить комментарий

Комментарий будет опубликован после модерации.




CAPTCHA

Нажимая кнопку, я принимаю условия Оферты по использованию сайта и согласен с Политикой конфиденциальности