close

Вход

Забыли?

вход по аккаунту

?

17 (2)

код для вставкиСкачать
17. Конфиденциальность в ИТ-бизнесе
Условия правовой охраны конфиденциальной информации. И ГК РБ и постановление № 670 определяют требования, которые позволяют рассматривать ту или иную информацию как сведения, содержащие коммерческую тайну.
В совокупности выделяются следующие требования:
* наличие у информации действительной или потенциальной коммерческой ценности для компании;
* неизвестность ее третьим лицам;
* отсутствие к ней свободного доступа на законном основании третьих лиц;
* принятие обладателем мер к охране ее конфиденциальности через систему классификации информации как коммерческой тайны, разработки внутренних правил засекречивания, введения соответствующей маркировки документов и иных носителей информации, организации;
* не являться государственным секретом;
* не касаться негативной деятельности субъекта хозяйствования, способной нанести ущерб интересам государства.
Теперь остановимся подробнее на этих требованиях.
Наличие у информации действительной или потенциальной коммерческой ценности для компании. Иными словами, вряд ли можно отнести к коммерческой тайне информацию о меню в корпоративном буфете, если только это меню не позволяет повысить эффективность работы ИТ-специалистов в несколько раз :).
Коммерчески ценная информация - это сведения, обладающие способностью приносить доход в случае их возмездной передачи другим лицам или использования, а также способностью приносить ущерб в результате их разглашения или использования иными лицами без соответствующих законных оснований. Имеется в виду как действительная, так и потенциальная коммерческая ценность.
Указание на возможность наличия лишь "потенциальной коммерческой ценности" означает, что не требуется доказывать существующую востребованность данной информации на рынке. В частности, если речь идет о принципиально новой ИТ-разработке, то вполне понятно, что уже сложившегося спроса на такую разработку на момент выхода с ней на рынок может и не быть. Важно лишь, чтобы данные сведения в принципе могли кого-то заинтересовать. При этом в расчет должны приниматься только коммерческая ценность сведений и их использование в коммерческой сфере, а не научная, социальная и тому подобная ценность. Следует также заметить, что коммерческая ценность объекта не обязательно отражает достоинства результата интеллектуальной деятельности, и поэтому реальная эффективность, прогрессивность и тому подобные характеристики найденного решения не имеют значения для возникновения права на него как на секрет производства.
Характер информации, составляющей содержание секрета производства, правового значения не имеет. Это могут быть производственные, технические, экономические, организационные и другие сведения, в том числе о результатах интеллектуальной деятельности в научно-технической сфере. Действительная или потенциальная коммерческая ценность означает возможность использования информации при осуществлении предпринимательской деятельности. При этом научная, социальная ценность не являются обязательными требованиями признания информации служебной или коммерческой тайной.
Применительно к оценке стоимости информации, составляющей коммерческую тайну, можно говорить лишь о доходах, которые еще не получены.
Отсутствие свободного доступа третьих лиц к информации на законном основании. Отсутствие к информации свободного доступа на законном основании означает невозможность свободного получения такой информации любым заинтересованным лицом.
К информации, которая является общедоступной, можно отнести, например, сведения, содержащиеся в Едином государственном регистре юридических лиц и индивидуальных предпринимателей и являющиеся открытыми и доступными для всеобщего ознакомления (за исключением сведений, составляющих государственные секреты, банковскую, служебную и коммерческую тайну), сведения о покупателе и дате реализации конкретного бланка первичного учетного документа и(или) контрольного знака, которые могут быть предоставлены пользователям электронного банка данных об изготовленных и реализованных бланках первичных учетных документов и контрольных знаках через Интернет или через компетентные органы.
Неизвестность информации третьим лицам. Это не означает, что такая неизвестность должна быть абсолютной, когда информацией владеет лишь одно лицо. Более того, закон прямо предусматривает ситуацию, когда разные лица независимо обладают одними и теми же сведениями, составляющими коммерческую тайну, и такое положение не приводит к прекращению права каждого из этих лиц на эту тайну. При использовании коммерческой тайны также может потребоваться предоставление доступа к соответствующим сведениям другим лицам (консультантам, работникам и т.д.), и если они будут сохранять информацию в тайне, то право на секрет производства не прекратится. В связи с этим важно позаботиться о том, чтобы с такими лицами были заключены соглашения о конфиденциальности. То есть необходимо, чтобы соответствующие сведения не стали общедоступными.
Установление режима коммерческой тайны. Итак, после того как вы убедились, что ваша информация отвечает всем вышеперечисленным критериям, вам необходимо выполнить последнее условие - принять меры к охране ее конфиденциальности через систему классификации информации как коммерческой тайны, разработки внутренних правил засекречивания, введения соответствующей маркировки документов и иных носителей информации, организации.
То есть, по сути, следует установить режим коммерческой тайны. Только в этом случае и с этого момента вы сможете рассчитывать на защиту вашей коммерческой тайны со стороны государства и его правовых механизмов. При этом не стоит задача превратить ваш офис в непреступный военный лагерь и написать десяток объемных локальных документов. Необходимо лишь принять разумные меры и ограничения для охраны ваших секретов. Это должны быть разные по объему и затратам меры для крупных или небольших компаний.
Итак, переходим к практическим шагам по соблюдению предусмотренных законодательством мер по охране конфиденциальной информации.
Формирование перечня сведений, составляющих коммерческую тайну.
Первой мерой, которую необходимо реализовать, является определение круга сведений, составляющих коммерческую тайну. Его наличие носит принципиальный характер, поскольку невозможно требовать от работников неразглашения абстрактной конфиденциальной информации. Защищается только документированная информация, следовательно, необходимо как можно конкретнее описать все виды конфиденциальной информации.
Рекомендуется распределить сведения по категориям важности в зависимости от их ценности для компании, характера и размера ущерба, который может быть нанесен при разглашении этих сведений. К решению этой проблемы следует подходить особенно внимательно. Если какие-либо данные, прямые или косвенные, будут упущены из виду, все принимаемые меры могут оказаться неэффективными. С другой стороны, излишние меры по ограничению доступа к информации осложнят работу и приведут к неоправданным экономическим издержкам. Нет большого смысла очень детально описывать каждый вид документов. Иногда проще записать общий критерий. Например, "Все документы, относящиеся к проекту "Новая операционная система Беларусь 3000" или "Разработка нового белорусского мобильного коммуникатора". Правильная организация выделения и защиты коммерческой тайны не должна мешать эффективной работе компании.
Практика показывает, что данный вопрос лучше решать коллегиально. Без помощи владельцев бизнес-процессов при определении перечня информации, составляющей коммерческую тайну, не обойтись. Поэтому будет серьезной ошибкой, если формирование перечня будет возложено только на службу безопасности или юридический отдел. Для разработки перечня сведений необходимо создать рабочую группу из наиболее квалифицированных и компетентных специалистов ключевых подразделений компании.
В группу желательно включить:
* специалиста, владеющего финансовыми вопросами;
* специалиста, полностью представляющего работу компании, ее особенности;
* юрисконсульта;
* специалистов, обладающих всеми сведениями о конкретных проектах, ИТ- разработках, программных продуктах, их функциональности, методологии их разработки.
Результатом работы рабочей группы должен стать перечень сведений, составляющих коммерческую тайну компании, который оформляется в локальном документе "Перечень сведений, составляющих коммерческую тайну" Это документ необходимо утвердить уполномоченным органом или должностным лицом компании. Вполне естественно, что по мере необходимости этот перечень должен пересматриваться, изменяться и дополняться.
Перечень доводится до структурных подразделений и их сотрудников для использования в работе. Вновь принимаемые на работу сотрудники должны расписаться в том, что ознакомлены с перечнем сведений. Факт ознакомления можно зафиксировать в приказе о приеме на работу, в соглашении о конфиденциальности с ИТ-специалистом или в одном из разделов трудового договора.
Разработка положения u1086 о коммерческой тайне. Далее должен быть разработан документ, регламентирующий порядок обращения с документами и учет лиц, получивших доступ к информации, составляющей коммерческую тайну, нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна".
Данное положение разрабатывается в составе той же группы, которая занималась формированием перечня сведений, составляющих коммерческую тайну.
Примерная структура положения по защите коммерческой тайны может выглядеть следующим образом:
* общие положения;
* конфиденциальная информация;
* ответственность за разглашение конфиденциальной информации;
* система доступа сотрудников к сведениям, составляющим конфиденциальную информацию;
* круг лиц, имеющих право давать разрешение на доступ к конфиденциальной информации;
* порядок оформления разрешения на доступ к конфиденциальной информации;
* порядок подготовки и издание конфиденциальных документов;
* делопроизводство с документами, содержащими конфиденциальную информацию;
* приложения.
Правила, устанавливаемые данным положением, не должны быть затратными в материальном выражении. Также на совершение необходимых процедур не должно уходить много времени, которое лучше с пользой тратить на производственные активности. Этот документ должен пройти аудит производственных подразделений с тем, чтобы его требования не создавали проблем для эффективной работы компании.
Маркирование конфиденциальных документов грифом "Коммерческая тайна". Законодательство требует определить порядок нанесения на все носители информации, составляющей коммерческую тайну, непременного их атрибута - ограничительного грифа. При этом какие-либо оригинальности типа "Внимание: секретно", "Очень строго секретно" или просто "КТ" использоваться не должны. Только гриф "Коммерческая тайна", да еще с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Также рекомендуется маркировать документы (бумажные и электронные), содержащие конфиденциальную информацию, путем проставления грифа конфиденциальности в правом верхнем углу титульного листа.
Маркировка конфиденциальных документов осуществляется ответственным за их подготовку или ответственным за работу с данными документами. Маркировка сообщений электронной почты осуществляется пользователем, выполняющим отправку (распространение) данных сообщений. О порядке оформления таких надписей и их содержании вы сможете узнать в подразделе "Уведомление о конфиденциальной информации в документах и электронных сообщениях".
В документах, содержащих конфиденциальную информацию и передаваемых третьей стороне, на обороте титульного листа в обязательном порядке должна быть сделана пометка с требованием сохранять конфиденциальный характер этого документа.
Использование паролей доступа. Пароль можно сравнить с зубной щеткой, о которой говорят: "Используйте ее каждый день, меняйте регулярно, не делитесь ею с друзьями". И системный администратор, и конкретный пользователь должны совместно заботиться об этой "зубной щетке", то есть контролировать и выполнять инструкции, связанные с идентификацией пользователей.
Существует ряд правил, которые рекомендуется соблюдать при использовании паролей доступа:
* должно быть технически невозможно установить один из 10 ранее набранных паролей;
* не следует использовать для входа только логин без введения пароля. Соблюдение этого правила необходимо вменить в обязанности системному администратору;
* не сохраняйте пароли, которые вам достались при покупке устройства от поставщика. Заменяйте их на новые;
* не вводите пароль в то время, когда кто-либо находится рядом с вами;
* не храните свой пароль на онлайн-ресурсах и не посылайте его по электронной почте.
Системы хранения паролей. В наше информационно-коммуникационное время приходится запоминать множество паролей. Вам потребуется пароль для электронной почты, локальных сетей, для домашней странички и доступа к FTP, пароли в Интернете, аккаунты на форумах и веб-сайтах и т.д. Этот список бесконечен. Кроме того, необходимо использовать разные пароли для каждой учетной записи. Ведь если вы используете только один пароль и везде его применяете, то у вас могут возникнуть проблемы. Когда вы начинаете понимать, что паролей в вашей жизни становиться много, на помощь приходят системы управления и хранения паролей.
Такие системы помогут вам управлять вашими паролями и сохранят их в безопасности. Вы сможете поместить все ваши пароли в одну базу данных, которая надежно закрыта единственным мастер-паролем или ключевым файлом. В этом случае вам необходимо запомнить только один мастер-пароль или выбрать ключевой файл, чтобы управлять всей базой данных. Базы данных находятся в зашифрованном виде с применением безопасных алгоритмов шифрования. Один из таких менеджеров управления паролями на условиях свободной лицензии - KeePass.
Обязательства о конфиденциальности в ИТ-сфере
Несмотря на то что теперь практически каждый сотрудник в сфере информационных технологий при поступлении на работу берет на себя обязательства о неразглашении конфиденциальной информации, законодательное регулирование соответствующих вопросов вряд ли можно признать удовлетворительным.
Документ
Категория
Разное
Просмотров
76
Размер файла
58 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа