В прошлых публикациях мы уже не один раз изучали вопрос, что такое коммерческая тайна, как ее защищать и многие другие нюансы, связанные с этим понятием. В этой статье поговорим о том, что именно охраняет коммерческая тайна, т.е. об информации.
Информация, защищенная коммерческой тайной, может храниться на различных носителях, бумажных или цифровых.
Цифровыми называют любые виды носителей информации, в которых данные хранятся в цифровом виде. Это может быть флешка, жесткий диск на компьютере, «облачное хранилище», т.е. тот же жесткий диск, но уже на сервере и т.д.
Т.е. любой документ или набор данных, например, договор с поставщиком или клиентом, цены, зафиксированные для разных категорий клиентов в соответствии с системой скидок или любая другая информация может быть зафиксирована на бумаге и/или иметь цифровую копию, т.е. храниться в виде файла.
Важно: коммерческой тайной можно и нужно защищать не только информацию на бумажных носителях, но и любые данные, хранящиеся на цифровых носителях.
И здесь мы подходим к такому понятию, как цифровая информационная безопасность. Т.е. поговорим о том, как защитить ту часть информации, которая хранится не в физическом виде, а на каких-то цифровых носителях.
Типы носителей и разные подходы к защите информации
Такие носители могут иметь два варианта расположения:
В офисе или на территории компании. Это жесткие диски, установленные на компьютерах пользователей или серверах, расположенных в помещениях, доступных сотрудникам компании, служебные флеш-носители и пр.
В «облаке», т.е. информация хранится удаленно на серверах провайдера.
В первом случае сам физический носитель находится в прямом доступе, потому и защитить его сравнительно просто. Если это флешка, достаточно не подключать ее в чужие компьютеры. Если это локальная сеть без доступа к интернету, информация вообще не выйдет за пределы компании, кроме как по вине сотрудников. Если это локальная сеть с выходом в Интернет, его можно ограничить, а в критической ситуации просто выключить сервер.
Т.е. в случае необходимости защитить коммерческую тайну можно при помощи ограничения физического доступа, так же, как и при работе с бумажными документами.
Во втором случае речь идет об информации, которая хранится «в облаке». Чаще всего, это базы данных CRM, ERP, учетных систем, которые находятся на серверах провайдера услуг, а компания получает к этим инструментам только удаленный доступ.
К этим данным вы не сможете ограничить доступ физически. Администратор провайдера не отключит сервер от сети по вашему звонку или запросу.
В этом случае используют два метода защиты информации и, соответственно, коммерческой тайны.
1. Настройка прав доступа в системе
В этом случае вы определяете, к каким модулям системы и данным получает доступ тот или иной сотрудник. Т.е. разные сотрудники имеют доступ только к тем сведениям и возможностям, которые нужны им для работы. Для этого прописываются, так называемые роли. А каждый сотрудник получает собственный логин и пароль.
Соответственно, пользователь сможет работать с определенным набором данных. Что-либо другое узнать или воспользоваться дополнительными возможностями, например, скачать базу данных, он не сможет.
Здесь защита строится просто:
Ограничивается перечень людей, которые имеют доступ к системе.
Прописываются роли, т.е. каждый сотрудник работает только с тем, что ему действительно нужно, и не видит ничего лишнего.
Каждый аккаунт пользователя защищается уникальным логином и паролем с достаточной степенью сложности.
Дополнительно возможно подключение двухфакторной идентификации, т.е. вход через последовательность пароля и одноразового кода из смс или других подобных вариантов защиты.
2. Доступ к системе с ограничением по IP
Этот метод используется как дополнение к мерам защиты, описанным выше. Т.е. вы также устанавливаете права пользователей, пароли, при желании, двухфакторную идентификацию. Но дополнительно разрешаете вход в систему только с определенных IP-адресов.
Широко известно, что каждый компьютер, который выходит в локальную или глобальную сеть, имеет свой IP-адрес. Этот набор цифр может быть постоянным или меняться при каждом подключении.
Чтобы защитить доступ к системе через ограничение IP, необходимо:
Убедиться, что ваше интернет-подключение имеет статический IP, т.е. при каждом подключении к глобальной сети вам присваивают один и тот же адрес. Эту информацию может предоставить провайдер интернета вместе с пояснениями, что нужно сделать для получения статического адреса. Обычно для этого достаточно просто оплатить подходящий тариф. Большинство коммерческих организаций пользуются именно таким типом подключения уже давно. Но если есть сомнения, проверить не помешает.
Установить на компьютерах сотрудников постоянные (статичные) IP. В локальной сети это выполняет системный администратор, при организации удаленных рабочих мест понадобится обратиться к Интернет-провайдеру (см. п. 1).
В административном разделе системы указать список IP-адресов, с которых разрешен вход.
После этого войти в систему смогут только люди, имеющие соответствующую пару логин-пароль, и работающие с компьютера, IP-адрес которого вы внести в список.
Такие простые действия помогут обеспечить вашу информационную безопасность и, соответственно, защитить коммерческую тайну в случае работы с цифровыми носителями. Помните, что информацию нужно защищать до того, как утечка данных произойдет. После вы, возможно, сумеете наказать виновных, но избежать потерь, увы, не получится. Потому совмещайте организационные методы защиты коммерческой тайны и техническим обеспечением информационной безопасности.
Darth_Anjan
3. Прописать в договоре с поставщиком облачных услуг пункт о защите ваших данных. И тут желательно побольше конкретики: что защищается, почему защищается, условия доступа, санкции за утечку данных по вине поставщика. Если будет сопротивляться, то в лес такого поставщика, т.к. ваши данные читайте не защищены.
DrPass
… и круг возможных поставщиков облачных услуг автоматически сокращается до мелких локальных, что само собой небезопасно, и вы просто остаётесь без облачных услуг.
Поэтому не нужно тешить себя иллюзиями. У вас нет п. 3, у вас есть всего два варианта: доверить свою безопасность третьей стороне под честное слово, надеясь, что она достаточно профессиональна, либо управлять своей безопасностью самостоятельно.
Особенно в свете того, что вам-то важно не санкции за утечку (сиречь, некролог вашим данным) согласовать, а предупредить их утечку.
Darth_Anjan
На самом деле я на это и намекал. Складывать чувствительные данные в облака и считать, что они надёжно защищены — это крайне опрометчивое решение. Особенно если почитать типовые пользовательские соглашения — тогда просто волосы дыбом встают.