IT-Security Step-by-step

Как подготовиться и выстроить защиту:

Шаг 1. Убедитесь, что данные защищены

Чтобы информация и документы в компании были защищены так же, как поставленное на баланс имущество, их тоже нужно «инвентаризировать». Тогда и сотрудники будут относиться к данным с большим уважением. Кроме того, это необходимые формальные условия, благодаря которым можно будет защитить данные в суде. В противном случае даже если вы за руку поймали сотрудника, который отправлял техническую документацию конкурентам, в суде дело против него рассыплется.

Вот порядок действий по защите данных:

• Издать приказ о введении режима коммерческой тайны (КТ). В него включают требования по оповещению сотрудников о режиме КТ и оформлению договоренностей о неразглашении. А в приложения – самое важное: перечень информации, которая составляет тайну, и сотрудников, которые ответственны за ее сохранение и/или имеют право с ней работать. Также перечисляют меры и инструменты для охраны конфиденциальной информации и инструкции по работе с ней.


• Подписать с сотрудниками соглашение о неразглашении (NDA) в дополнение к трудовому договору. В нем нужно указать, что сотрудник обязан сохранять коммерческую тайну, а также принимает ответственность, которая наступит при нарушении. Иногда уже на уровне NDA прописывают наказания для сотрудников за разглашение тех или иных сведений. Например, за слив базы конкурентам – штраф в 10 млн рублей. Для наших судов это не аргумент, но как профилактика такое устрашение работает.


• Оповестить сотрудников о мерах контроля. Подготовьте соглашение о том, что компания может контролировать компьютеры персонала. Укажите, зачем это делается: например, чтобы исполнить требования регулятора, следить за соблюдением трудового распорядка, сохранностью имущества компании (рабочих ПК). Со всеми в штате такую бумагу нужно подписать индивидуально. Так сотрудники будут знать, что информация на их компьютерах просматривается, а работодатель не нарушит права работников, даже если они решат хранить на рабочем месте личные данные.


• Составить регламент работы с конфиденциальной информацией. Регламент должен содержать правила хранения, учета, уничтожения и оборота таких данных. Например, требования помечать специальным грифом каждую копию документа, составляющего коммерческую тайну, нумеровать экземпляры таких документов, указывать, кому они принадлежат и что вправе с ними делать те или иные сотрудники.


• Обеспечить выполнение этого регламента. Разграничить доступы к информации: бумаги запирать в сейфы, в Active Directory распределить права сотрудников, чтобы файлы и папки с критичным содержанием могли просматривать только те, кто указан в приказе. Следить, все ли конфиденциальные сведения учтены и размечены грифом – например, с помощью систем файлового аудита. Контролировать, как сотрудники соблюдают режим коммерческой тайны: не отправляют ли внутренние данные посторонним, не проявляют ли халатность в их защите – скажем, оставляют рабочее место, не заблокировав компьютер. Для этих целей подходят DLP-системы (системы защиты от утечек информации).

Шаг 2. Расследуйте инцидент и соберите доказательства

Если вы заподозрили, что в коллективе завелся инсайдер, или даже выявили попытку кражи данных, не спешите «вязать» нарушителя на месте. Проведите внутреннее расследование по всем правилам. Важно документально оформить каждое действие, чтобы в дальнейшем не возникло сомнений в их законности. Бюрократии тут много, но без нее не обойтись.

Грамотно выстроенная процедура разбирательства выглядит так:

• Зафиксировать факт инцидента или подозрения в том, что инцидент произошел. Для этого на имя руководства составляют служебную записку, в которой описывают, что произошло. Обычно это делает служба безопасности, если ее нет – любой в штате, кто стал свидетелем нарушения. Это послужит толчком к началу официального расследования.


• Создать комиссию по расследованию инцидента. В нее должны входить минимум три человека, обычно – по одному сотруднику от службы безопасности и отдела кадров, плюс непосредственный руководитель или коллега предполагаемых нарушителей.


• Собрать доказательства инцидента, чтобы установить, в чем именно состояло нарушение, когда оно произошло и кто его спровоцировал. Доказательствами послужит информация из СКУД, систем видеонаблюдения, контроля рабочего времени, DLP. В последних логируются все действия пользователей за ПК. Например, как из-под учетной записи менеджера Иванова в 13:45 12 октября зашли в Telegram и отправили документ с грифом «Коммерческая тайна» в групповой чат. Если возникнут сомнения, что действовал именно Иванов, можно просмотреть контрольные снимки с веб-камеры и идентифицировать нарушителя.


• Зафиксировать размер ущерба и результаты расследования. Чтобы оценить убытки, привлекают внешних аудиторов для экспертизы. Ее выводы включают в акт, который составляется по результатам расследования. Этот документ подписывают члены комиссии и заверяет руководитель организации. На все по ТК отводится месяц: за это время нужно успеть провести все проверки и оформить документы.


• Ознакомить сотрудника с результатами работы комиссии и потребовать письменного объяснения. На это ему дается два рабочих дня. Если сотрудник отказывается или не предоставляет объяснительную вовремя, составляется акт за подписями всех членов комиссии. Сотрудник и его законные представители имеют право получить доступ и к этому акту, и к результатам служебной проверки. Препятствовать им противозаконно.


• Потребовать возмещения ущерба. Если сотрудник откажется, можно применить дисциплинарные меры – проще говоря, сделать выговор или уволить. Или лишить премии, если это предусмотрено корпоративными правилами. О любом наказании нужно составить приказ, ознакомить с ним работника под роспись в течение трех рабочих дней, при отказе подписывать – составить акт. Когда этого мало, с материалами расследования и экспертизы о размере ущерба обращаются в полицию или сразу в суд.

Шаг 3. И только теперь готовьте иск