Эта статья ориентирована на руководителей коммерческих организаций и содержит некоторые приемы правовой защиты коммерческой информации.
Если защита правовая, то при чём здесь средства защиты?
Такой вопрос может задать внимательный читатель! Действительно, в современном высокотехнологичном обществе в правовых механизмах регулирования информационных процессов применяют технические средства для создания подходящих правовых условий и ситуаций по определённым правовым схемам.
В качестве примера можно привести введение на предприятии режима охраны коммерческой тайны.
Конфиденциальность коммерческой информации
Одними из ограниченных в доступе режимов обработки данных являются:
- режим охраны коммерческой тайны;
- режим защиты персональных данных (персональные данные сотрудников и клиентов);
- режим охраны секретов производства (ноу-хау).
Мерами по защите вышеупомянутых режимов конфиденциальности являются:
- правовые;
- организационные;
- технические.
Известны случаи, когда неправильно организованные меры документооборота приводили к оспариванию действия режима охраны коммерческой тайны. Например, при нанесении грифа "Коммерческая тайна" отмечались только документы на бумажных носителях и совершенно игнорировались электронные - это могло привести к судебному оспариванию введения режима конфиденциальности.
Фактом подобных нарушений могут пользоваться сотрудники, обвиняемые в разглашении сведений, составляющих коммерческую тайну, чтобы осуществить свою защиту. За нарушение коммерческой тайны нормами Уголовного кодекса РФ установлена уголовная ответственность и для того, чтобы "сбить статью", обвиняемые в разглашении тайны сотрудники могут подвергнуть судебному оспариванию правильность введения режима конфиденциальности.
Организационные меры по соблюдению режима конфиденциальности в компании предусматривают контроль многих процессов. Например, правильную организацию утилизации технических отходов коммерческой деятельности, содержащих конфиденциальные сведения, или контроль внутренней и внешней эксплуатации съемных носителей памяти, и многое другое.
Теоретически, злоумышленники могут получить сведения о wi-fi сети компании из перегоревших "умных лампочек", выкинутых в мусорный контейнер, или восстановить коммерческие документы в, найденных там же, перегоревших "флешках".
Для получения доказательств нарушения действия режима конфиденциальности можно провести информационно-технический аудит, в результате которого могут быть найдены технически незащищённые точки доступа к конфиденциальной информации и открытые каналы внешней связи.
Технические и организационные нарушения ввода режима охраны конфиденциальной информации могут быть усугублены наличием ошибок в правоустанавливающих документах. Юридические ошибки в подготовке пакета документов, неправильный ввод правоустанавливающих документов в документооборот, стратегические ошибки в политиках конфиденциальности и безопасности информации в компании - всё это факты, являющиеся основанием для оспаривания действия установленного режима конфиденциальности в организации.
Подобными ошибками могут воспользоваться сотрудники, конкуренты и контролирующие организации.
ОБРАЩАЙТЕСЬ К СПЕЦИАЛИСТАМ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ!
Применение технических средств защиты информации
Технические средства защиты должны применяться комплексно по принципу шахматных защит (одно контролирует другое). Весь комплекс программно-технических средств должен быть настроен специалистами в соответствии с чётко поставленными стратегическими задачами, которые тоже должны быть систематизированы и проверены на исключение диверсионных случаев.
Все элементы системы информационной безопасности компании должны находиться в оперативном управлении службы контроля. В центре управления или в ситуационном центре используются человеческие ресурсы, автоматические и искусственные интеллектуальные системы контроля.
На ключевых узлах программно-технической системы безопасности специалисты устанавливают операционные системы реального времени (ОСРВ), встраивают аппаратные системы защиты от несанкционированного доступа и воздействия, применяют интеллектуальные средства контроля целостности информации внешних и внутренних контуров.
Зачем соответствовать высокому технологическому уровню защиты данных?
Не такой уж простой вопрос, как может показаться вначале. При определении уровня защиты коммерческой информации компании определяется степень интереса конкурентов.
Для противодействия конкурентной разведке осуществляется защита коммерческой информации и определяются схемы оперативного реагирования в случае возникновения информационного инцидента в компании.
Для осуществления некоторых схем реагирования с возникновением серьёзных правовых последствий, требуется установить факт применения технически сложных средств несанкционированного доступа к информации.
Есть такое правило:
ЧЕМ СЛОЖНЕЕ ЗАЩИТА ИНФОРМАЦИИ, ТЕМ БОЛЬШЕ СЛЕДОВ ОСТАВИТ ЗЛОУМЫШЛЕННИК ПРИ ПОЛУЧЕНИИ ДОСТУПА К НЕЙ.
Также, существует утверждение, что чем сложнее защита, тем легче её взломать - это не всегда верно! При построении правильной технической системы защиты сложность больше полезна защищаемой стороне:
- возможно создание ложных каналов доступа к дезинформации;
- возможно более детальное изучение атакующих сил;
- больший выбор применения вариантов блокировки технических средств злоумышленника;
- и, самое главное, возможно возникновение более тяжёлых правовых последствий для правонарушителей.
В сложной информационной коммерческой диверсии легче определяются отягощающие обстоятельства в виде применения технически сложных устройств, предварительного сговора, совершения преступления группой лиц и другие.
Поэтому сложные системы защиты информации, применение повышенного класса безопасности может быть нужно не столько для сохранения конфиденциальности сведений, сколько для возникновения серьёзных правовых последствий для злоумышленников.
Привлечение к максимальной ответственности и взыскание максимальной компенсации материального ущерба с конкурента за получение несанкционированного доступа к коммерческой тайне компании является видом конкурентной защиты.
Крупные компании сообщают о своих результатах борьбы с информационными ворами в новостных разделах своих сайтов, чтобы факт информационного инцидента, вместо негативных последствий, повышал доверие к надёжности справившейся с атакой компании.
5 февраля 2019 года
автор: юрист Демешин Сергей Владимирович.