В российских реалиях вопрос защиты корпоративной информации стоит крайне остро. Технологические ограничения и обязательства не разглашать секреты работодателя не мешают сотрудникам регулярно "сливать" ценные данные. В борьбе с утечкой информации иногда более эффективны постоянные напоминания об угрозах, а также повышение уровня лояльности работников.

В РДТЕХ все сотрудники подписывают дополнительное соглашение к трудовому договору о конфиденциальности и свидетельствуют о том, что ознакомлены со специальным Порядком обращения с информацией, подлежащей защите. В соответствии с указанным Порядком в нашей компании выделен блок конфиденциальных вопросов, включающих, в том числе, персональные данные сотрудников и клиентов, условия коммерческих сделок и проектов и прочее. Также при увольнении человек подписывает специальный документ о том, что он предупрежден о соблюдении конфиденциальности.

К сожалению, в России практически отсутствует судебная практика по защите конфиденциальной информации, а информация организаций о случаях утечек закрыта и не распространяется широко. Это объяснимо: во-первых, утечки информации подрывают "goodwill" любой компании, а во-вторых, на ошибках учатся не только охраняющие коммерческую тайну, но и интересующиеся ею! На ум сразу приходят многочисленные истории из Интернета, в том числе и о том, как сделать атомную бомбу самостоятельно. Отсутствие судебной практики, в первую очередь, связано с тем, что необходимо доказывать наличие умысла и корысти нарушителя, то есть, что он сознательно действовал в целях получения денег или иных преференций. Но доказать это крайне затруднительно, тем более доказательства, добытые с нарушением закона, судом не рассматриваются. Поэтому возможности коммерческих организаций, даже самых крупных, в этом отношении сильно ограничены, что уж говорить о малом и среднем бизнесе. Проблемы с утечкой информации в российском бизнесе встречаются довольно часто. К сожалению, нам известна масса случаев, когда такие утечки происходят из недр государственных проверяющих органов. Ещё один распространенный случай, так называемых "конфликт интересов", когда члены семьи акционера компании работают в компаниях-конкурентах.

По статистике, наибольшее количество утечек происходит не по злому умыслу, а случайно, из-за невнимательности или вследствие низкой осведомленности по вопросам защиты информации. Вы согласны с этим? В вашей компании есть четко прописанная политика и регламенты информационной безопасности, а также санкции за их нарушение?

Да, с этим трудно не согласиться. Рано или поздно любые запреты и ограничения имеют тенденцию размываться. Поскольку в России не существует как таковой судебной практики по этому направлению и широкой пропаганды защиты информации на каких-либо примерах, то организация самостоятельно должна формировать у коллектива чувство ответственности за сведения, распространение которых может нанести вред организации или ее контрагентам.

Чем больше общество обращает на эту проблему внимания, тем более осознанно каждый человек будет понимать свою ответственность. А руководство компании постоянно должно проводить соответствующие "учения" и периодически "возобновлять подписки" по отдельным проектам, заказчикам, освежая в памяти сотрудников принятые на себя обязательства.

Чтобы вынести информацию, чаще всего сотрудники пользуются флешками и электронной почтой. Какие меры предпринимаются в вашей компании, чтобы предотвратить попытки утечек? Какие технические и программные решения вы для этого используете?

Если сотрудник захочет "унести" информацию, он это сделает. Опять же, можно вложить большие деньги, пытаясь защитить всё и вся, но это существует вопрос эффективности вложений, соотношения затрат и результата, который может быть достигнут. Крупные компании, разумеется, тратят большие деньги на предотвращение утечек.

Но для компаний малого и среднего бизнеса гораздо эффективнее не видеокамеры и тотальный контроль, а повышение лояльности сотрудника к компании, взращивание в них гордости за принадлежность к этому бизнесу. В случае, когда человек дорожит своей работой и коллегами, у него и мыслей не появится "слить" информацию конкурентам.

Как вы ограничиваете доступ разных сотрудников к разного уровня информации? Какие программные решения для этого используете?

Мы пользуемся стандартными, но от того не менее действенными инструментами. Доступ к сетевым ресурсам хранения информации контролируется в зависимости от роли и статуса пользователя, функций подразделения. Мы также ограничиваем хранение информации на ноутбуках, проводим её периодическое копирование на сетевые ресурсы. Используем методы шифрования данных и пароливание доступа к ПЭВМ.

У вас есть специальный отдел или сотрудники, занимающиеся информационной безопасностью? Если нет, то почему вы считаете, что это вам не нужно? Как думаете, возможны ли такие услуги на аутсортинге?

Специального отдела или профильных специалистов в РДТЕХ для решения этих задач нет, но отдельным сотрудникам вменено выполнение данных функций. Каждой компании важно понимать, насколько затраты соотносятся с результатом, и зачастую при таком подходе введение в организационную структуру подразделения информационной безопасности попросту экономически нецелесообразно.

Читать статью полностью на Коммерсанть-online.