Методы оценки и способы борьбы с утечками коммерческих тайн
Информационная безопасность Информационная безопасность

Режим коммерческой тайны – когда нужно о нем задуматься и как его внедрить

Информационная безопасность Тема номера

Подушка безопасности

Дата публикации:
03.04.2015
Посетителей:
92
Просмотров:
69
Время просмотра:
2.3

Авторы

Автор
Георгий Гарбузов В прошлом - руководитель отдела консалтинга Центра информационной безопасности компании “Инфосистемы Джет"
Коммерческие секреты в том или ином виде есть у любой современной организации. Причем, в отличие от легендарных рецептов Coca-Cola, запертых, якобы, в бездонных глубинах могучего сейфа, они вполне себе используются в работе и имеют хождение по организации. К ним могут относиться базы клиентов туристической или страховой компании, регламенты производства лекарств, планы и отчеты, чертежи оборудования и даже рецепты салатов и супов в кафе или ресторане.

 

 

Знал бы, где упасть, соломки бы подстелил.

Народная мудрость

 

Все имеет свою цену, пока на это находится покупатель, а стоимость коммерческих секретов может быть огромной и достигать десятков и даже сотен миллионов долларов. Для наукоемких производств стоимость информации может значительно превышать ценность материальных активов, обеспечивающих собственно производство. При этом оценить стоимость коммерческих секретов не так просто (в отличие от увесистого оборудования), а сама цель оценки не представляется такой уж ясной. Однако как без ее проведения мы сможем понять свои риски в случае утраты критичных данных и применить защитные механизмы?

 Оценка стоимости коммерческого секрета, как и любого другого нематериального актива, – настолько нетривиальная задача, что вернее было бы говорить не об оценке и уж тем более не о расчете, а скорее, о снижении степени неопределенности в отношении предмета наблюдения, выраженном какой-либо цифрой. Существует масса способов такой оценки – от проприетарных, предлагаемых, например Forrester, до российских федеральных и международных стандартов (IAS 38), эта тема заслуживает отдельной статьи или даже их цикла, и здесь мы не будем подробно останавливаться на ней. Однако точным может быть признан только тот анализ стоимости коммерческого секрета, который появился после его оценки рынком, в том числе в случае его кражи.

 

Так, ущерб от передачи информации, содержащей коммерческую тайну ОАО «Фосагро», партнерам из московского представительства Transammonia AG составил около $2 млн. Другой пример: один из сотрудников JP Morgan сообщил японскому хедж-фонду о выпуске акций Nippon Sheet Glass до официального объявления этой информации. В результате убытки составили $2 млрд. А ущерб Kia Motors, возникший в результате «слива» китайским конкурентам 57 различных технологий процесса сборки автомобилей Kia, сама компания оценила в фантастические $22,3 млрд!

 

Статистика, представленная в отчетах, свидетельствует о том, что доля утечек коммерчески ценной информации в общей структуре утечек неуклонно растет. Так, их число в 2013 году втрое превысило показатели 2012 года, причем в большинстве случаев были виноваты работники компании, половина из которых действовала умышленно. Чем же может воспользоваться организация для защиты своих данных?

 

Иллюзия контроля

 

Один из прогрессивных способов борьбы с утечками в современной компании, где подавляющий объем информации представлен в цифровом виде, – это использование в ключевых точках обработки данных различных систем: разграничения и управления доступом, противодействия утечкам, корреляции событий, мониторинга и др. Основной их задачей является реализация всего комплекса мер предотвращения и выявления утечек информации ограниченного распространения. Эти системы способны ограничить доступ к разным категориям информации, а также «наблюдать» за данными в моменты их «движения» и принимать предопределенные меры: «тормозить» их или сообщать о событии офицеру безопасности.

 

Тем не менее процессы борьбы с утечками далеко не идеальны и связаны с целым рядом проблем. Здесь и ошибки конфигурирования систем, выражающиеся в избытке прав или недостаточной проработанности правил фильтрации, и несовершенство самих решений, и их принципиальная неприменимость на поздних этапах утечки. Кроме того, наивно было бы полагать, что системы купируют тягу к самим попыткам «вынести» информацию. Как остроумно сформулировал когда-то один мой коллега, «система противодействия утечкам – это средство их вытеснения в неконтролируемые каналы». Халатность или намеренные попытки украсть так или иначе останутся, и если в первом случае технические меры обладают высокой эффективностью, то во втором они помогут далеко не всегда. Мотивированный злоумышленник, в отличие от разгильдяя, – натура деятельная, рано или поздно он найдет возможность «стащить», выбрав иной метод, технологию или носитель.

 

Последствия зависят исключительно от воли злоумышленника, и в пиковом случае произойдет противоправное деяние, на юридическом языке называемое разглашением и определяемое как действие или бездействие, в результате которых информация становится известной третьим лицам без согласия обладателя (№ 98-ФЗ). И никакие технические меры здесь уже не помогут: они не покрывают полный цикл защиты данных ограниченного распространения и не дают их обладателю никаких преимуществ с точки зрения защиты своих интересов в случае, если разглашение произошло. Ликвидировать последствия допущенной утечки (возместить ущерб, запретить использование украденных данных и т.д.) должен будет обладатель информации, который обязан был это предвидеть и принять превентивные меры.

 

Знал бы, где упасть…

 

Введение режима коммерческой тайны (КТ) – единственный правовой механизм, позволяющий обладателю информации отстаивать свои права, та самая «соломка», которую следует подстелить для защиты от несовершенства технических средств. Это тот набор дополнительных мер, который закроет весь цикл защиты коммерческих секретов, дополнив технические меры на «поздних» этапах процесса. Режим КТ и системы защиты – это Инь и Янь борьбы с утечками: одно без другого существовать, конечно, может, но гармонии от однобокого решения не жди – и утечку не предотвратишь, и потерянного не вернешь.

 

Мы не будем подробно рассказывать о сути режима коммерческой тайны и практических особенностях его введения. Вкратце это набор из 5–8 организационных мер (требований), которые необходимо предпринять обладателю информации для защиты своих интересов, причем реализация этих мер – право, а не обязанность (в отличие от тех же персданных). Эти требования можно выполнить плохо, нагрузив организацию обременительными процессами и наводнив бумажным оборотом, или хорошо. В любом случае пока обладатель не выполнил их в полном объеме, режим считается не установленным. С точки зрения закона информация фактически ничья, любой работник может использовать ее так, как ему заблагорассудится, виновного нельзя будет даже уволить по статье – лишь попробовать предъявить ему гражданский иск о возмещении прямого ущерба, причем обладателю придется обосновать его величину. При таких условиях ответчику не составит особых проблем «отбиться» от обвинения (напомним, что в административном и гражданском праве, в отличие от уголовного, действует презумпция вины). Ни компенсировать ущерб, ни запретить любые формы использования и распространения информации (разумеется, при условии, что она не подпадает под другие категории сведений конфиденциального характера Указа № 188 или действие других областей права, например, патентного) обладатель не сможет.

 

А между тем возможность компенсировать ущерб и предотвратить причинение дальнейших убытков – это тот результат, который окупает весь банкет и который ждет бизнес от данной защитной меры. Режим коммерческой тайны – прекрасный пример чистой бизнес-услуги, поскольку он нужен в первую очередь не специалистам по ИБ, не бухгалтерам и даже не юристам, а обладателю информации. Основной внутренний потребитель – это бизнес.

 

Режим КТ, несмотря на критику самого закона, является достаточно мощным и единственным в своем роде правовым инструментом, который может здорово помочь при решении целого ряда проблем.

 

Среди них:

 

  • рост числа инцидентов, связанных с незнанием работниками и третьими лицами своей ответственности за разглашение коммерческих секретов;
  • невозможность привлечения виновных к дисциплинарной и уголовной ответственности, возмещения причиненных убытков;
  • низкая общая культура и дисциплина обращения с конфиденциальными сведениями;
  • отсутствие законных оснований для введения ограничений доступа к информации для государственных органов, акционеров, СМИ (В отношении акционеров ситуация не столь однозначная. Можно вспомнить прецедент с А. Навальным, который в 2011 г. купил акции «Транснефти» и согласно ФЗ об акционерных обществах стал требовать доступ к протоколам Совета директоров).

 

Хотелось бы отметить, что особенно полезным он может быть при истребовании причиненных убытков (в последней редакции ст. 11 ФЗ-98 именно «убытков», то есть не только прямого ущерба, но и упущенной выгоды). Можно вспомнить пример ООО «НИЦ "Поиск"» (г. Уфа). Компания занимается исследованиями и производством антикоррозионных материалов. Сам способ производства – рецептура и технология – описывается в технологическом регламенте, который отнесен к режиму коммерческой тайны. Бывшие работники, полностью освоив рецептуру и технологию изготовления, организовали собственное предприятие по выпуску аналогичной продукции, чем причинили ООО «НИЦ "Поиск"» крупный ущерб. По факту обращения истца в суд (Приговор Кировского районного суда г. Уфы 1-19/2013 от 16.01.2013) виновные были осуждены за нарушение изобретательских прав, в пользу истца с осужденных в солидарном порядке была взыскана полная сумма причиненного ущерба.

 

Кому режим коммерческой тайны точно пригодится? Разумеется, тем компаниям, которые признали свои коммерческие секреты ценным активом, и их существование обуславливает конкурентные преимущества. Например, это представители высокотехнологичных отраслей, имеющие исследовательские подразделения (электроника, фармацевтика и химия, телеком), обладатели клиентских баз и производители уникальных услуг (ритейл, медицина), финансовые организации (банки, лизинг, страхование) – словом, все те компании, интеллектуальный потенциал которых является важным активом. Режим коммерческой тайны поможет им:

 

  • обеспечить возможность привлечения виновных лиц к ответственности (в том числе дисциплинарной и уголовной) и взыскания с них причиненных убытков;
  • значительно упростить внедрение специализированных систем защиты и противодействия утечкам информации, оптимизировать работу уже имеющихся;
  • существенно уменьшить число инцидентов ИБ, связанных с утечками информации ограниченного доступа, и повысить общую информационную культуру сотрудников;
  • ввести законные ограничения на доступ к данным для сотрудников и третьих лиц.

 

Что же нужно сделать, чтобы внедрить режим КТ и обрести все названные возможности? Казалось бы, просто реализовать перечисленные в законе требования – издать соответствующие приказы и обязать работников их выполнять. Однако давайте трезво смотреть на вещи: на нормальном, «живом» предприятии только директивами ничего не добьешься, даже при авторитарной модели управления. Как только нажим ослабнет, все вернется на круги своя.

 

Издание Daily Mail смоделировало офисный день среднего клерка: он отправляет и получает до 40 писем в сутки (а каждый двенадцатый работает с сотней посланий в день), проводит за компьютером не менее 7 часов, готовит до 10 отчетов объемом 3–8 страниц, обращается к 50 рабочим файлам. Если на распорядок дня сотрудника еще и наложить обязанности выполнять требования закона – маркировку, учет и т.д., – либо он начнет саботировать и игнорировать («дайте мне спокойно работать» – с этим приходится встречаться постоянно), либо режим существенно затруднит бизнес и снизит его эффективность. Внедрение режима КТ в действующей организации напоминает переборку двигателя на заведенном автомобиле из известного анекдота: задача что-то улучшить не должна поставить под угрозу сам бизнес, при этом улучшения вносятся «на полном ходу». Справедливости ради надо отметить, что если организация внедряла у себя сиcтему противодействия утечкам и подошла к анализу информации и созданию правил серьезно, построение режима коммерческой тайны значительно упрощается.

 

К сожалению, законодательство о коммерческой тайне проработано не в такой степени, как, например, о персональных данных, и оставляет массу вопросов практической реализации без ответов. Как именно допускается проводить учет субъектов доступа к информации, какие свидетельства будут приняты судом? Как соотносятся требования режима (особенно в части маркировки) с хранением данных в облаке? Каков минимальный и достаточный набор условий, которые должен создать работодатель сотруднику? И так далее...

 

Трудности перевода

 

Как уже отмечалось, режим КТ – право обладателя информации, а не обязанность, он запросто может им не пользоваться. Подушка безопасности в автомобиле тоже может никогда не пригодиться, но если аварии не избежать, ничто, никакие компенсирующие меры ее не заменят. В этом смысле режим КТ является подушкой безопасности бизнеса, это вложение в его будущую безопасность.

 

Режим коммерческой тайны – вполне работоспособный инструмент, со своей сложившейся правоприменительной практикой. Но как и любым другим инструментом, им надо учиться пользоваться. Необходимо понимать сложность проблемы и использовать гибкий подход, не строить «бумажных монстров», а создавать максимально простой и удобный, но вместе с тем легитимный режим, применяя привычные и понятные людям механизмы. Кроме того, необходимо по возможности подходить к проблеме комплексно (как «гуманитарий» и «технарь») и обязательно, непременно изучать реальную судебную практику.

 

Некоторые организации уже имеют «бумажный» режим – увесистые кирпичи, в которых описаны десятки процессов, так или иначе связанных с обработкой важной информации, к ним приложены формы учета, акты, разделы договоров и пр. Безопасники или юристы бережно хранят эти мертвые бумаги как подотчетные результаты консалтинговых проектов. Но если сотрудники не могут показать ни одного документа с грифом, если они не умеют правильно отправить закрытую информацию подрядчику по электронной почте, а учет ведется в бумажном журнале (причем в нем есть только одна запись, сделанная под сдачу проекта), режим коммерческой тайны, а вместе с ним отчасти и бизнес, нуждаются в срочном оздоровлении.

Читайте также

Страна советов

Уведомления об обновлении тем – в вашей почте

Профили защиты на основе «Общих критериев»

В статье анализируются профили защиты и их проекты, построенные на основе международного стандарта ISO/IEC 15408, описывающие сервисы безопасности, их комбинации и приложения. Выделяются общие требования, которые могут войти в состав ...

Категорирование информации и информационных систем. Обеспечение базового уровня информационной безопасности

Информация является одной из разновидностей таких ценностей, стоимость ее может оказаться настолько высокой, что ее потеря или утечка, даже частичная, способна поставить под вопрос само существование компании.

Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

Как изменилась роль ИБ-отрасли за последние месяцы? Какова кадровая ситуация в сфере информационной безопасности? Почему далеко не все отечественные ИБ-решения нуждаются в доработке? Как относиться к Open Source (спойлер — единого мнения нет)?

Информационная безопасность: экономические аспекты

Отечественный ИТ-рынок в последние несколько лет динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ) развивается еще более быстрыми темпами – более чем на 25% в год. Такой ...

Как справиться с неопределенностью при оценке рисков ИБ

Какие виды неопределенности подстерегают компанию при оценке рисков ИБ? Как лучшие практики в области ИБ рекомендуют оценивать киберриски? Оценка рисков ИБ.

Управление рисками: обзор употребительных подходов (часть 1)

В данной статье представлена методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств и выбрать направления, на которых целесообразно сконцентрировать основные ресурсы

Распределенные атаки на распределенные системы

Многоагентные системы создавались для интеграции неоднородных приложений. Но и противник также нуждается в интеграции и координации своих действий для того, чтобы атаковать распределенную систему.

Технологии и инструментарий для управления рисками

На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Результаты ...

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня