Защита коммерческой тайны фстэк

Предлагаем ознакомиться с ответами на вопросы по теме: "Защита коммерческой тайны фстэк" от профессионалов для людей. Если в статье не найдете ответ на свой вопрос, то можно обратиться к дежурному специалисту.

Персональные данные, служебная и коммерческая тайна

«Персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация», ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ.

Обработка персональных данных – действия (операции) с персональными данными, включающие в себя: сбор, систематизацию, накопление, хранение, изменение, использование, распространение, обезличивание, блокирование, уничтожение.

Любая организация, независимо от ее размера и формы собственности, совершающая любые из вышеперечисленных действий с персональными данными, принадлежащими физическим лицам (клиенты, сотрудники, посетители), является оператором ПДн и занимается обработкой ПДн.

Каждый оператор ПДн обязан защищать их в соответствии с законом №152-ФЗ от 27.07.2006г., предварительно подав уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации.

В случае невыполнения требований закона, виновные несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

  • Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
  • ФСТЭК России – Федеральная служба по техническому и экспортному контролю
  • ФСБ России – Федеральная Служба Безопасности

В ходе работ по защите персональных данных, мы предлагаем:

  • аудит информационной системы. Является обязательной процедурой для операторов ПДн и предусматривает периодическое тестирование ИСПДн на предмет защищенности;
  • приведение информационной системы Заказчика в соответствие с требованиями законодательства;
  • разработку отраслевых стандартов.

«Информация, составляющая коммерческую тайну (секрет производства), — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны», ФЗ N 98 от 29.07.2004г.

Введение технических мер по защите коммерческой и служебной тайны является обязательным условием для нормального функционирования компании.

Специалисты ООО «НПП «СВК» проведут аудит и построят информационную систему «под ключ», отвечающую всем требованиям руководящих документов. Для построения защищенной системы используются средства защиты, сертифицированные ФСТЭК России.

В современных компаниях большинство информации, в том числе составляющей коммерческую или служебную тайну, хранится в компьютерных системах. Для сохранения конфиденциальности и ее защиты от утечек, необходимо проводить комплекс мер по обеспечению безопасности и сохранности этой информации внутри компании.

Источник: http://npp-svk.ru/services/information-protection/personal-info-proprietary-trade-secret/

Защита информации, составляющей коммерческую тайну

В современном цифровом мире информация — это, прежде всего, деньги. Изобретения, патенты, стратегические исследования рынка и планы компании на будущее представляют собой актив особого рода. Не имея непосредственно выраженной ценности, эта информация может быть использована конкурентами для нанесения вреда компании. Таким образом, защита информации, составляющей коммерческую тайну, должна стать приоритетной задачей каждой компании.

Определение понятий

Коммерческая тайна — это правовой режим конфиденциальности, введенный на предприятии или организации, а также меры по недопущению утечек и посягательств на информацию.

Данные, составляющие коммерческую тайну, — это определенный набор сведений, который каждая компания определяет в индивидуальном порядке. Такие данные могут касаться производственной, научной или маркетинговой сферы деятельности фирмы.

Все сведения, которые содержат в себе коммерческую тайну, можно причислить к одному из 4 типов:

  • Научным и техническим данным — это разработанное программное обеспечение, патенты, ноу-хау и т. д.
  • Данным промышленного типа — рецептам производства, документам на оснащение, технологиям.
  • Финансовым данным — экономическому и административному учету, ценовой политике, налоговым отчислениям и т. д.
  • Бизнес-сведениям: планам сбыта, информации о покупателях, анализу рынков.

Каждый из работников фирмы постоянно работает с информацией, составляющей разную степень секретности. По этому критерию данные можно классифицировать так:

  • Информация наибольшей степени защищенности, с которой оперирует, как правило исключительно руководство компании.
  • Строго секретная информация.
  • Конфиденциальные данные.
  • Данные с ограниченным доступом.

На каждом предприятии должен быть четко регламентирован перечень данных, которые являются коммерческой тайной. От служащих и деловых партнеров нужно постоянно требовать выполнения предписаний по охране коммерческой тайны.

Информационные угрозы, возникающие перед предприятием

Все угрозы информационной безопасности можно поделить на две большие группы:

Внешние угрозы могут исходить как от конкурентов, так и от физических и юридических лиц, которые заинтересованы в захвате и переделе собственности фирмы.

Внутренние угрозы всегда так или иначе связаны с сотрудниками компании. Важные данные могут просто украсть собственные сотрудники, дабы в дальнейшем использовать для личной выгоды либо для причинения вреда фирме.

Как защитить компанию от утечки данных

Специалисты по IT-безопасности выделяют следующие меры защиты фирмы от кражи информации:

  • административно-организационные;
  • правовые;
  • технические.

Административно-организационные меры включают в себя все то, что может сделать администрация, дабы обеспечить IT-безопасность — начиная от издания приказа о внедрении распорядка коммерческой тайны и заканчивая правильной разработкой трудовых соглашений и контрактов с партнерами.

К правовым методам охраны коммерческой тайны можно отнести, в частности, шестой пункт части 1 статьи 81 Трудового кодекса РФ.

Одно из технических средств для защиты от сетевых атак — DLP. Это «цифровой периметр» фирмы, сквозь который не может «прорваться» ни один документ или файл, образовывающий бизнес-тайну.

Защита информации с помощью ИКС

В ИКС есть все необходимое для технической защиты сведений, которые составляют коммерческую тайну. Это DLP-модуль с функциями настройки проверки и порога чувствительности, а также Suricata — программное решение, надежно защищающее вашу сеть от неавторизованного доступа. Обнаруживая хакерскую атаку, Suricata тут же информирует об инциденте системного администратора и обрывает соединение со злоумышленниками, перенастраивает файервол так, что следующее соединение будет невозможным.

Читайте так же:  Политика по охране труда на предприятии образец

Источник: http://xserver.a-real.ru/support/useful/zashchita-informatsii-sostavlyayushchey-kommercheskuyu-taynu/

Защита коммерческой тайны фстэк

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Обучение

Реклама

Партнеры

Форум

Цитата
Asmodean пишет:
Модель угроз и модель нарушителя, рассматривается, прогнозируется и моделируется в не зависимости от НПА по ИБ. Вы МУ и МН применяете ко всей организации, на которую влияющими воздействиями действуют законы, ПП, УП, отраслевые стандарты и т..д.

Вы немного не поняли вопроса, а то что должно выполняться это и так понятно. Вопрос состоял каким документом(ами) необходимо руководствоваться ?
В плане ПДн там все четко и ясно, т.к. имеется базовая модель угроз и методика определения актуальности.

Насчет крипты вы неправы. Есть ФСБ документ ПКЗ-2005, который определяет применение ГОСТ-криптографии при передаче по открытым каналам информации конфиденциального характера, подлежащей защите в соответствии с законодательством РФ . А коммерческая тайна к такой относится.

Насчет ДСП методички ФСТЭК для КТ не слышал. Надо погуглить, можете уточнить её название?

Цитата
4. Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:
средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя , пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лиц, не являющихся государственными органами или организациями, выполняющими государственные заказы;

Соответственно, как и СТР-К, только рекомендательный характер.

Цитата
Михаил пишет:
Насчет ДСП методички ФСТЭК для КТ не слышал. Надо погуглить, можете уточнить её название?

Нашёл
Методические рекомендации по технической защите информации, составляющей коммерческую тайну от 25.12.2006 г. (документ ДСП)

Цитата
Trotsky пишет:
4. Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:
средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лиц, не являющихся государственными органами или организациями, выполняющими государственные заказы;

А как же п.3:
3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации
?

2Trotsky
Хммм. Для коммерческой тайны есть отдельный ФЗ №98, определяющий необходимость ограничения доступа к ней (п.10). Т.о. основная проблема в данном случае следующая — считать ли режим ограничения доступа к коммерческой тайне устанавливаемым обладателем в соответствии с ФЗ №98 (т.е. имеет место решение обладателя) или считать, что необходимость ограничения доступа к ней уже определена на уровне закона (и тогда о решении обладателя речи идти не может, а все зафиксировано на уровне ФЗ). В первом случае ПКЗ-2005 будет только рекомендацией, а если верна вторая точка зрения, то положения ПКЗ-2005 для коммерческой тайны надо соблюдать (если конечно вообще передача КТ по открытым каналам связи осуществляется). Нужна юридическая консультация.

По поводу методических рекомендаций — спасибо. Что-то я не помню его, почитаю

Цитата
Trotsky пишет:
Методические рекомендации по технической защите информации, составляющей коммерческую тайну от 25.12.2006 г. (документ ДСП)

а также «Пособие по организации технической защиты информации, составляющей коммерческую тайну» 2006 (ДСП)

никто не проверяет, разве что если режим не установлен, толком..то в случае судебных разбирательств, вы не сможете взыскать за разглашение никаких денег. а это значит что неполностью или неправильно реализованный режим..считай что нет его..

Ст. 10-13 Закона посвящены охране коммерческой тайны. Общими мерами обеспечения соблюдения конфиденциальности информации являются следующие:
 разработка перечня информации, относящейся к коммерческой тайне;
 разработка положения по коммерческой тайне;
 ограничение и регламентирование доступа к носителям информации;
 определение круга лиц, имеющих права доступа к информации;
 разработка и закрепление правил по регулированию отношений по использованию информации, составляющей коммерческую тайну, в системе трудовых договоров, договоров с контрагентами;
 нанесение на документы, договора, составляющие коммерческую тайну надписи «конфиденциальная информация», при этом необходимо указывать обладателя информации (место нахождения, наименование).
После принятия вышеуказанных мер режим коммерческой тайны считается установленным.

это по меркам закона..а так. у вас должно быть еще помещение для конфиденциальных переговоров..совещаний. тоесть это глушилки и тп.аттестация.и арм тоже для обработки..а то и все арм защищать где перечнем отнесенная к КТ информация обрабатывается..так что не так уж и просто режим реализовать..чтоб не для красивого словца..а чтоб работал он..
одни тока грифы наносить..на бумажки..должны определятся..учет вестись отдельный от общего документооборота..вобщем я сталкивался..гемор тока) хотя если есть что реально стоит защищать. то надо внедрять)

Источник: http://ispdn.ru/forum/messages/forum2/topic2642/message34833/

Защита коммерческой тайны фстэк

В современных рыночных условиях трудно найти компанию, не имеющую коммерческой тайны. Коммерческая тайна может циркулировать как в защищаемых помещениях, так и в автоматизированных системах при обработке, хранении и передаче информации.

Какие сведения можно отнести к коммерческой тайне?

  • Сведения о контрагентах, контрактах, переговорах, конкурентах, потребителях и т.д.
  • Финансовая информация: планирование прибыли и себестоимости, политика и алгоритм ценообразования, источники финансирования, информация о дебиторской задолженности и т. д.
  • Планы выпуска продукции или оказания услуг, секреты технологии и технологических циклов, объемы резервов и планы инвестиционной деятельности и т. д.
  • Маркетинговая информация: стратегия формирования рынков сбыта; рекламные планы и концепции, маркетинговые исследования конкурентоспособности продукции и услуг и т. д.
  • Исходные коды программного обеспечения.
  • Содержание и планы научно-исследовательских работ, планы внедрения новых технологий и т. д.
  • Административная информация: структура управления предприятием, методы организации управления; системы организации труда и автоматизации трудовых процессов и т. д.
Читайте так же:  Трудовой спор образец заявления

Компания Нордкомп предлагает полный пакет услуг по обеспечению защиты коммерческой тайны предприятий любого масштаба.

Документация
— Анализ существующей документации, регламентирующей работу с коммерческой тайной, оформление отчета с рекомендациями.
— Разработка документации, регламентирующей работу с документами, составляющими коммерческую тайну.

Электронный документооборот для коммерческой тайны
— Анализ бизнес-процессов организации.
— Разработка предложения по системе документооборота, учету, регистрации конфиденциальных документов.
— Внедрение системы электронного документооборота.

Технические мероприятия по защите коммерческой тайны
— Построение системы инвентаризации, управления компьютерной безопасностью и информационными активами (LanDesk).
— Построение системы противодействия утечке конфиденциальной информации (DLP).
— Построение корпоративной системы контроля входящего веб-трафика (WEB-фильтрация).
— Построение корпоративной системы шифрования данных.
— Построение системы антивирусной защиты серверов и рабочих станций.
— Построение корпоративной системы защиты каналов связи (VPN).
— Построение системы обнаружения и предотвращения атак и вторжений (IPS, IDS).
— Построение корпоративной системы межсетевого экранирования (firewall).
— Построение системы резервного копирования и восстановления данных.
— Сопровождение инцидентов, связанных с компьютерными преступлениями (расследование компьютерных преступлений, реагирование на инциденты ИБ, расследование инцидентов ИБ).
— Построение системы защиты информации от несанкционированного доступа.

Аттестация по защите коммерческой тайны
Аттестация объекта информатизации замыкает линейку предоставляемых компанией услуг, является логическим завершением комплекса работ по защите информационных ресурсов заказчика. Аттестат соответствия, выдаваемый по результатам работ, подтверждает, что объект информатизации соответствует требованиям стандартов, нормативных документов по защите информации, утвержденных ФСТЭК России, ФСБ России, иными организациями и учреждениями, осуществляющими в соответствии с законодательством Российской Федерации регулирование в области информационной безопасности.

В рамках работ по аттестации объектов информатизации наша компания предоставляет следующие услуги:
— оказание помощи в подготовке объекта информатизации к аттестационным испытаниям;
— проведение предварительной оценки соответствия объекта информатизации действующим требованиям;
— разработку предложений и рекомендаций по приведению информационной системы в соответствие действующим требованиям, подготовку (при необходимости) технического задания на работы по созданию (совершенствованию) системы защиты информационных ресурсов;
— поставка и установка средств защиты информации на объекте информатизации Заказчика, настройка средств защиты информации в соответствии с заявленной категорией и классом защищенности;
— проведение аттестационных испытаний объектов информатизации на соответствие нормативным документам, требованиям по безопасности конфиденциальной информации, иных видов защищаемой информации, в том числе персональных данных.

Аттестации по требованиям безопасности подлежат:
1. Объекты информатизации, обрабатывающие государственную тайну.
2. Выделенные помещения (помещения для ведения секретных переговоров).
3. Автоматизированные системы, обрабатывающие государственные информационные ресурсы ограниченного доступа (персональные данные в составе ИСПДн, служебная тайна) — государственные организации, муниципальные организации.
4. Защищаемые помещения (помещения для ведения конфиденциальных переговоров).


Источник: http://www.nordcomp.ru/NC/solutions/zashchita-informatsii/zashchita-kommercheskoy-tayny/

Лицензирование ФСТЭК: надежная защита коммерческой тайны

Федеральная служба по техническому и экспортному контролю (ФСТЭК), созданная на базе одного из бывших подразделений ФСБ, на сегодняшний день является центральным государственным органом, в компетенцию которого входит защита коммерческой негосударственной тайны. Основным инструментом, при помощи которого эта организация осуществляет свои контролирующие функции, является лицензия ФСТЭК. При этом данный документ входит в перечень обязательных допусков, требуемых для легальной деятельности компаний и организаций, работающих в целом ряде направлений. Рассмотрим, какие именно виды деятельности подлежат лицензированию ФСТЭК, а также, что представляет собой процедура получения этого документа.

Направления деятельности, контролируемые лицензией ФСТЭК

Существует три крупных направления производственной деятельности и сферы услуг, для осуществления которых лицензия ФСТЭК является обязательным документом. Для каждого из них существует специальная программа подготовки, а также выдвигается определенный комплекс требований, с которыми необходимо детально ознакомиться при осуществлении подготовительных работ. Предлагаем ознакомиться с этими направлениями и основными особенностями каждого из них:

— Разработка ПО, используемого в целях защиты коммерческой тайны во внутренних и внешних цифровых сетях, установка такого программного обеспечения, его сервисное обслуживание (обновление, внесение изменений), а также оперирование данными, открывающими доступ к закрытым программам, обеспечивающим безопасность коммерческой тайны.

— Оперирование программным обеспечением, направленным на защиту коммерческой тайны. В данном случае, речь идет об используемом оборудовании, а также о помещениях, в которых оно эксплуатируется. Здесь выдвигаются требования, касающиеся различных уровней доступа персонала к информации, как в отношении электронных программ, так и в плане входа в серверные и другие помещения, где эксплуатируется такое оборудование.

— Проведение экспертизы промышленной безопасности на объектах с ограниченным уровнем доступа, которые связаны с защитой коммерческой тайны.

Этапы лицензирования ФСТЭК

Процедура получения лицензии ФСТЭК проходит в несколько этапов, каждый из которых требует индивидуального подхода и профессионального отношения. В этом аспекте можно выделить следующие действия:

— Анализ текущего состояния компании в плане защиты коммерческой тайны.

Видео (кликните для воспроизведения).

— Разработка мер, способных повысить безопасность коммерческой тайны, и их реализация.

— Подготовка необходимой документации и ее передача в представительство ФСТЭК.

— Рассмотрение пакета документов комиссией по лицензированию и принятие окончательного решения по выдаче документа.

Источник: http://www.business-gazeta.ru/article/299612

Коммерческая тайна — Форум по вопросам информационной безопасности

Коммерческая тайна — Форум по вопросам информационной безопасности

17.06.2012 17:27
18.06.2012 09:47
18.06.2012 13:42
18.06.2012 14:12

Ваша тайна, как считаете нужным, так и защищаете. В отличие от ПД, защита коммерческой тайны не является обязанностью — это право, которым, в принципе, можно даже и не пользоваться.

Читайте так же:  Акб устройство работа
18.06.2012 14:44

>И всетаки должны же быть документы которыми необходимо руководствоваться?

Закрытый перечень мероприятий по вводу режима коммерческой тайны в ст.10 закона о КТ. Все остальное (не противоречащее этому закону и 4 части ГК РФ) на Ваше усмотрение.

Ну и я бы рекомендовал рассматривать и анализировать не угрозы, а риски. Тем более, что настоятельно рекомендуется оценить в денежном эквиваленте нематериальные активы составляющие КТ — иначе Вы не сможете получить компенсацию за их утечку/разглашение

24.02.2013 12:43
24.02.2013 13:42

alex_s | 34066
>1. Методические рекомендации по технической защите информации, составляющей коммерческую тайну. Утвержден заместителем директора ФСТЭК России 25 декабря 2006 г.
2. Пособие по организации технической защиты информации, составляющей коммерческую тайну. Утверждено заместителем директора ФСТЭК России 25 декабря 2006 г.
И еще есть
1. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282.
2. Извещение №1-2008 о корректировке «Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К)»

Методические рекомендации — дсп.

Александр | 37756
> Подскажите пожалуйста согласно какому документу необходимо рассматривать и анализировать угрозы безопасности и модель нарушителя по коммерческой тайне

Саша, посмотрите ссылки. Хотелось бы, чтобы помогло.

Предложение:
Слишком много говорим об одном и том же в одноименных темах. Давайте уж как-нибудь группировать всё в одном месте. Вероятно у Амира нет или интереса или технических возможностей раскидать темы по основным вопросам ПД ИТР и ТЗИ.

Источник: http://lib.itsec.ru/forum.php?sub=7085&from=0

Защита информации, составляющей коммерческую тайну

Бизнес строится с использованием секретов производства, которые имеют действительную или потенциальную коммерческую ценность. В силу неизвестности их третьим лицам, обладатель ноу-хау будет вынужден выполнить все положения российского законодательства для того, чтобы получить правовую защиту для своих секретов. Техническая защита секрета производства (как часть общей защиты), требует специальных познаний и является лицензируемым видом деятельности.

Наиболее сложным при реализации требований законодательства является введение в организации режима коммерческой тайны, без которого невозможно сохранение секретов производства.

Игнорирование требований нормативных правовых актов по вопросам коммерческой тайны сделает невозможной правовую защиту секретов производства и привлечение к ответственности виновных в их разглашении. Недостаточность режимных мер по охране секретов производства неизбежно приведет к утрате таких секретов. Утрата наиболее важных секретов производства обычно наносит существенный ущерб.

Эксперты «Информзащиты» помогут внедрить режим коммерческой тайны в компании или внести необходимые изменения в существующий режим.

  • проведут обследование существующего состояние обеспечения защиты;
  • разработают рекомендации по принятию дополнительных правовых, организационных и технических мер, направленных на повышение эффективности системы защиты;
  • доработают (переработают) внутренние нормативные документы, разработают недостающие нормативные документы, создадут типовые договоры, регулирующие отношения, связанные с обращением с ИКТ, с работниками и контрагентами;
  • спроектируют системы защиты конфиденциальной информации с учетом разработанной модели угроз нарушения ИБ ИКТ;
  • поставят и внедрят необходимые средства защиты;
  • обучат все категории работников, имеющих доступ к конфиденциальной информации.

Законно установленный режим коммерческой тайны позволит минимизировать риски, связанные с утратой (разглашением) секретов производства (ноу-хау). Секреты производства получат как фактическую, так и правовую защиту. Лиц, разгласивших секреты производства, можно будет привлечь к различным видам юридической ответственности, включая уголовную.

Правильная организация работ по технической защите секретов производства, в том числе получение лицензий ФСТЭК России и ФСБ России на указанные виды деятельности, минимизирует риски привлечения организации и (или) ее руководителя к административной или уголовной ответственности за осуществление указанных работ без лицензии.

Организация сможет в гражданско-правовом порядке предъявить иск к нарушителю исключительного права на секрет производства и потребовать возместить убытки, причиненные нарушением этого исключительного права.

Источник: http://infosec.ru/uslugi/zashchita-informatsii-sostavlyayushchey-kommercheskuyu-taynu/

Рекомендации ФСТЭК по защите персональных данных

Защита персональных данных
с помощью DLP-системы

П ерсональные данные граждан, доверенные юридическим лицам и индивидуальным предпринимателям, имеют специальный режим защиты. Он определяется федеральными законами и подзаконными актами. Технические аспекты охраны, определяющие требования к методам и техническим средствам, используемым для их обработки, устанавливаются приказами ФСТЭК РФ.

Нормативно-правовое регулирование

Федеральный закон «О персональных данных» предполагает, что сведения о гражданах, их личной жизни, имущественном статусе и здоровье, хранящиеся и обрабатываемые в информационных сетях, не могут неправомерно попадать в распоряжение третьих лиц. Несовершенство систем обработки информации часто приводит к утечкам важных сведений, в том числе персональных данных. Утечки могут быть и случайными, и преднамеренными. Чтобы избежать таких ситуаций, способных причинить ущерб гражданам, разрабатываются специальные требования к информационным системам. Для организаций, признанных в установленном законом порядке операторами персональных данных, технические требования к системам их обработки устанавливаются приказами ФСТЭК РФ.

Сейчас действует приказ № 21, вступивший в силу в 2013 году, определяющий технические и организационные меры по защите персональных данных. Он неоднократно дополнялся и изменялся, ориентируясь на требования момента. Последняя редакция была принята в 2017 году. В структуре документа, в приложении, определяющем состав мер, содержатся рекомендации, регулирующие:

  • идентификацию и аутентификацию лиц, которых операторы допускают к обработке персональных данных;
  • управление системой доступа к ним;
  • программную среду и ее ограничения;
  • физическую защиту компьютеров, содержащих информацию, относящуюся к персональным данным;
  • порядок регистрации инцидентов безопасности;
  • порядок организации антивирусной защиты;
  • способы фиксации проникновения в защищенный информационный периметр;
  • контроль защищенности персональных данных;
  • защиту технических средств.

Выбор мер организационной и технической защиты персональных данных зависит от класса защищенности информационной системы, определяемого по правилам, установленным Постановлением Правительства № 1119.

Применение приказа ФСТЭК РФ

Выход документа в 2013 году был одобрен операторами персональных данных. До конкретизации требуемых мер операторы существовали в условиях неопределенности, не зная, насколько применяемые ими технические меры и средства защиты соответствуют предъявляемым требованиям. Документ полностью соответствовал требованиям момента и учитывал такие изменения в информационной среде, связанные с появлением новых технических средств, как:

  • виртуализация персональных данных;
  • облачное хранение;
  • мобильные платформы.
Читайте так же:  Возражения на заявление о взыскании алиментов

Но приказу были свойственны и недостатки. Он не требовал потратить определенные средства на защиту персональных данных в обязательном порядке, допуская выбор из существующего перечня, но некоторые нормы сообществом операторов были сочтены избыточными. Приказ ФСТЭК РФ ввел 15 групп технических и организационных мер по защите персональных данных, в каждой из групп указано от 2 до 20 отдельных решений. Для каждой меры устанавливалось, является ли она базовой или обязательной для применения или компенсирующей, необязательной, однако усиливающей уровень защиты. Существуют только компенсирующие меры, которые не будут базовыми ни для одного из четырех уровней защищенности.

Действия оператора

После вступления в силу приказа ФСТЭК действия оператора стали более конкретными, чем до этого момента. Теперь без дополнительных консультаций, настраивая свою информационную систему защиты персональных данных, он вправе действовать по следующему алгоритму:

  • изучает Постановление Правительства Российской Федерации № 1119 и определение, под какой уровень защищенности попадает его система по защите персональных данных. Уровень зависит от количества человек, чьи данные обрабатываются, и их категории;
  • выбирает из редакций ФСТЭК России все те меры, которые для этого уровня защищенности отмечены плюсом (так называемые базовые меры, формально обязательные для применения);
  • исключает те меры, которые не могут быть применены в связи с отсутствием в распоряжении оператора соответствующих технологий (например, средств виртуализации);
  • изучает оставшиеся базовые меры и накладывает их на ранее разработанную модель актуальных угроз безопасности персональных данных. Если все угрозы базовыми мерами не охватываются, добавляет к ним некоторые из рекомендуемых компенсирующих;
  • формирует итоговый список мер;
  • составляет план-график их внедрения и приступает к его реализации.

Своими силами эта стратегия не всегда реализуема, и операторам приходится обращаться за приобретением услуг по настройке системы защиты персональных данных к профессиональным участникам рынка создания информационных систем.

Сложности при реализации рекомендаций ФСТЭК по защите персональных данных

Несмотря на четкость и ясность рекомендаций, при их реализации возникают некоторые сложные моменты, отмечаемые операторами и программистами. Среди них:

  • формулировки приказа № 21 часто неясны и размыты, написаны непрофессиональными программистами. Они допускают двойное толкование и часто не имеют необходимых пояснений;
  • неясно, может ли организация сама выполнять работы по настройке системы в отсутствие лицензии ФСТЭК или обязана привлекать для всех работ лицензированную организацию. Практика пошла по пути, разрешающему самостоятельную настройку системы защиты персональных данных даже при отсутствии лицензии;
  • необходимость проведения оценки системы защиты персональных данных раз в три года и отсутствие методики проведения такой оценки. Проверки ФСТЭК РФ по сути оценкой не являются.

Несмотря на некоторые недостатки, рекомендации ФСТЭК РФ по организации информационной системы защиты персональных данных способствовали наведению порядка на рынке и помогли в борьбе с наиболее актуальными угрозами безопасности.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/rekomendacii-fstehk-po-zashchite-personalnyh-dannyh/

Защита информации, составляющей коммерческую тайну

Защита коммерческой тайны
с помощью DLP-системы

К оммерческие компании генерируют массивы информации, которая представляет ценность как для самой компании, так и для конкурентов. Критически важные для бизнеса сведения включают входить технологии, ноу-хау, изобретения и разработки, исследования рынка, стратегические планы и другие виды данных, являющиеся самостоятельным активом. Интерес для конкурирующих фирм представляют также сведения о клиентах и контрагентах.

Государство признает информацию активом и вовлекает в гражданско-правовой оборот, устанавливая определенные меры защиты, эквивалентные мерам защиты материальных активов, Специфика методов и инструментов защиты информации, составляющей коммерческую тайну, связана с тем, что данные отражаются в электронном виде и на бумажных носителях.

Определение понятий

Следует различать два неравнозначных понятия. «Коммерческая тайна» и «информация, составляющая коммерческую тайну» одновременно фигурируют в законодательстве, но подразумеваются немного различные явления.

Термин «коммерческая тайна» относится к режиму конфиденциальности или к системе защитных организационных мероприятий, которые устанавливаются в компании, чтобы защитить информацию от преступных посягательств или утечек. Режим конфиденциальности помогает компании удержать позиции на рынке, сохранить конкурентные преимущества, избежать расходов на восстановление репутации, пошатнувшейся вследствие разглашения или утечки чувствительных сведений.

«Информация, составляющая коммерческую тайну» – это объем сведений, которые компания определяет произвольно. Сведения могут относится к научной, производственной, маркетинговой деятельности. Реальная или потенциальная коммерческая ценность подобных сведений увеличивается благодаря недоступности для третьих лиц. В отношении сведений устанавливают режим коммерческой тайны.

Массивы информации, составляющей коммерческую тайну, разделяются на четыре группы:

  1. Cведения научно-технического характера: изобретения, ноу-хау, патенты; рационализаторские предложения; методы повышения эффективности производства; все, что относится к работе компьютерных сетей, стандарты безопасности, программное обеспечение, пароли.
  2. Сведения технологического и производственного характера: чертежи; модели; документация на оборудование; рецепты производства; методики; описание бизнес-процессов; производственные и маркетинговые планы, стратегии, бизнес-планы; инвестиционные предложения.
  3. Сведения финансового характера, не являющиеся информацией общего доступа: данные управленческого и финансового учета; отчеты; сведения о себестоимости продукции; расчеты денежного потока; механизмы формирования цен; прогнозируемые налоговые отчисления.
  4. Сведения бизнес-характера: данные о поставщиках и подрядчиках; информация о клиентах; планы продаж; различные стратегии; консалтинговые рекомендации; данные анализа рынков и аналогичные сведения.

Градация степени конфиденциальности для каждой группы включает:

  • высшая степень секретности, доступная только топ-менеджменту организации;
  • строго конфиденциальная информация;
  • конфиденциальная информация;
  • сведения ограниченного доступа.

Ранжирование по уровню конфиденциальности помогает лучше организовать систему доступа и позволяет минимизировать риски утечки. Например, данные наивысшей ценности будут недоступны широкому кругу сотрудников компании, а значит, меньше подвержены риску намеренной или случайной утечки.

Чтобы воспользоваться законными возможностями по защите коммерческой тайны, на первом этапе компания должна определить перечень сведений, на которые распространяется режим коммерческой тайны. И в дальнейшем обоснованно требовать от сотрудников с контрагентами выполнения мер по защите данных и привлекать к ответственности за разглашение информации, составляющей коммерческую тайну.

Читайте так же:  Заявление на замещение вакантной должности образец

Параллельно с определением сведений необходимо установить режим конфиденциальности. Это означает – разработать и внедрить систему административно-организационных и технических мер, которые помогут предотвратить умышленное или неумышленное разглашение или распространение сведений.

Правовое регулирование режима коммерческой тайны в сфере гражданского и уголовного законодательства. Правоотношения регулируются Гражданским кодексом, в котором тайна определяется в качестве объекта защиты. Отдельные нормы, касающиеся соблюдения режима коммерческой тайны, содержаться в Трудовом кодексе. Уголовный кодекс вводит ответственность за умышленное разглашение информации. Таким образом, компания вправе самостоятельно определять, какие именно данные являются информацией, составляющей коммерческую тайну, а ее защита гарантируется мерами государственного принуждения.

Угрозы

Прежде чем разрабатывать систему защитных мер, чтобы сохранить конфиденциальность информации, и вводить в компании режим коммерческой тайны, необходимо определить наиболее вероятные угрозы безопасности. Угрозы подразделяются на внутренние и внешние.

Внешние угрозы включают три группы субъектов, которые могут быть заинтересованы в получении сведений, составляющих коммерческую тайну:

  • непосредственные конкуренты, которые действуют на тех же рынках, или компании, которые планируют выйти на те же рынки и осуществляют различные сценарии подрыва положения компании;
  • субъекты, заинтересованные в переделе долей участия в предприятии, рейдерские группировки, миноритарные акционеры и иные лица, которые могут использовать полученные сведения в борьбе за активы;
  • субъекты, которые посягают на активы, принадлежащие компании: недвижимость, земельные участки, акции и доли. Получение данных об активах облегчит процесс.

Внутренние угрозы прежде всего связаны с персоналом компании, включая и топ-менеджеров. Сотрудники с доступом к корпоративным информационным системам могут присвоить сведения, составляющие коммерческую тайну, чтобы продать, использовать в собственных коммерческих проектах или распространить среди неопределенно широкого круга лиц с целью причинить вред компании.

Система защиты должна определить все возможные угрозы и включать механизмы борьбы с конкретными опасностями.

Возможности и умения «СёрчИнформ КИБ» можно бесплатно проверить в течение 30-дневного теста.

Способы получения информации, составляющей коммерческую тайну

Признание информации коммерческой тайной в большинстве случаев не означает конфиденциальность в строгом смысле слова, потому что доступ к данным есть у сотрудников, разработчиков, клиентов и контрагентов. Сведения, которые во внутренних документах компании классифицируются как тайна, могут оказаться в открытом доступе из-за действий контрагентов. Двоякая суть информации, которая признается конфиденциальной, порождает не только незаконные, но и законные способы получить данные.

  • Перехват или организация утечек информации из телекоммуникационных сетей.
  • Прямое хищение документов.
  • Подкуп сотрудников.

Борьбу с подобными способами собрать данные осложняет их легитимность. Возможные средства противодействия – инструктаж сотрудников, тщательные проверки потенциальных контрагентов, проведение переговоров вне месторасположения компании.

Меры защиты

Основной мерой защиты информации, составляющей коммерческую тайну, станет установление режима коммерческой тайны. Основные мероприятия носят административно-организационный характер. Например, одним из основополагающих элементов системы является трудовой договор, который предусматривает ответственность сотрудников за нарушение режима конфиденциальности. С учетом того, что внешние угрозы проявляются в форме хищения из компьютерных сетей компании информации, составляющей коммерческую тайну, вместе с административными необходимо внедрять и технические меры, гарантирующие полноту защиты.

Административно-организационные меры

В первую очередь административно-организационные меры нацелены на информирование сотрудников о том, какие сведения относятся к коммерческой тайне, и какие обязанности по неразглашению возлагаются на персонал.

Еще одна цель – убедиться, что компания выполнила все требования закона и проявила предусмотрительность. Это усилит позиции в случае возможного судебного процесса против похитителя коммерческой тайны или заказчика похищения, получившего выгоду от преступного деяния.

Административно-организационные меры включают

Технические меры

Среди технических мер защиты информации, составляющей коммерческую тайну, в первую очередь рассматривают программы, позволяющие полностью защитить информационный периметр от утечек, несанкционированного копирования или передачи данных. К таким средствам относятся DLP-системы и SIEM-системы.

Системы класса DLP настраивают таким образом, чтобы максимально исключить хищение информации внутренними пользователями. Системы класса SIEM выявляют угрозы и идентифицируют различные инциденты информационной безопасности, позволяя осуществлять полный риск-менеджмент и обеспечивать защиту от проникновений через внешний периметр защиты.

К техническим мерам защиты можно отнести все способы кодирования и шифрования данных, установление запрета на копирование, контроль компьютеров сотрудников и мониторинг использования учетных записей.

С настройкой и управлением DLP-системой справится выделенная служба информационной безопасности. Для компаний, в которых ИБ-службы пока нет, есть альтернативное решение – услуга ИБ-аутсорсинга, которая включает установку и обслуживание специального ПО.

Правовые способы защиты коммерческой тайны

Если все утечка произошла и распространения конфиденциальная информация избежать не удалось, возникает необходимость привлечь к ответственности виновника и возместить ущерб. Это возможно только в судебном порядке. В суде также может быть оспорено увольнение по основанию «разглашение коммерческой тайны».

В российской судебной практике немало примеров, когда суд встает на сторону компании. Например, Московский городской суд признал законным увольнение сотрудницы, которая передала по электронной почте данные об объемах поставок. Ее уволили на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса Российской Федерации – разглашение охраняемой законом тайны. А в другом случае Московский городской суд восстановил нарушителя режима коммерческой тайны на работе, так как компания-ответчик не предоставила трудовой договор с истцом, правила внутреннего трудового распорядка содержали, по мнению суда, нечеткие формулировки, а положение о коммерческой тайне или другие регламентирующие документы и вовсе отсутствовали в компании.

Подобные примеры подчеркивают необходимость внимательно относиться к регламентации вопросов, связанных с установлением режима коммерческой тайны. Тогда компании под силу не только защитить важные коммерческие сведения, но и возместить финансовые потери в случае инцидента, который может привести к оттоку клиентов, потере позиций в конкурентной среде и подрыве репутации.

Видео (кликните для воспроизведения).

Источник: http://searchinform.ru/informatsionnaya-bezopasnost/zaschita-informatsii/zaschita-informatsii-sostavlyayuschej-kommercheskuyu-tajnu/

Защита коммерческой тайны фстэк
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here