Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита информации: основные аспекты сохранения конфиденциальности в сфере IT. Часть 2

Защита информации: основные аспекты сохранения конфиденциальности в сфере IT. Часть 2

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита информации: основные аспекты сохранения конфиденциальности в сфере ITЧасть 2

Понятие конфиденциальности является весьма злободневной темой и практически у каждого из представителей современного бизнеса существует собственное видение. Для чего вообще требуется охранять конфиденциальную информацию, и пойдет речь в данной статье. Статья состоит из двух частей. В части 1 рассматривались основная идея защиты информации и то, какую информацию есть смысл охранять в IT-компаниях, также был приведен перечень мер, которые необходимы компаниям для обеспечения конфиденциальности. В части 2 более подробно остановим внимание на ситуациях, когда уже подписано предварительное соглашение о неразглашении с заказчиком того или иного проекта. А также разберем, какие действия необходимо предпринять работодателю при увольнении сотрудника, обладающего конфиденциальной информацией.
Елена Харламова
Военный IT-обозреватель

Контракт уже подписан, с вами заключено предварительное соглашение о неразглашении во время переговоров. Причем, как правило, подобные соглашения заключаются еще до подписания самого контракта. Однако, как показывает практика, большинство зарубежных заказчиков – американских, европейских – весьма слабо знают, что в Беларуси существует законодательное положение о коммерческой тайне. По данным зарубежных исследований, законодательство по защите интеллектуальной собственности в Беларуси находится на достаточно высоком уровне. Но тем не менее при этом иностранные заказчики не верят в качество закона.

Юридические тонкости

В данном случае, как правило, отечественные IТ-компании предлагают заказчикам заключать соглашения о неразглашении в юрисдикции той страны, в которой у них находится штаб-квартира. Собственных юристов у них вполне достаточно, они полностью доверяют как своим победам, так и поражениям.

Медиатор – человек, обладающий в компании авторитетом, который может должным образом провести переговоры по спорным вопросам.

Если же это европейская компания, то существует ряд дополнительных ограничений, которые предусмотрены заказчиками из Европы, передающими на аутсорсинг разработки третьим странам. Разработана директива Евросоюза (ЕС), которая предусматривает законодательные ограничения для компаний и стран-членов ЕС в сфере ПДн. Если организация делает финансовое предложение для заказчика подобного уровня – к примеру, в области страхования или телекома – очень часто используются ПДн жителей ЕС. Соответственно данная директива обязывает компании во время заказов на разработки в третьих странах подписывать стандартные контрактные условия.

Как правило, к подобным приложениям нередко добавляются еще и требования необходимости выделенного периметра. Это может быть многостраничное приложение, в котором европейский заказчик будет описывать собственные требования к технической инфраструктуре, параметрам физической безопасности, информационной защите, которая должна соблюдаться во время ведения этого IТ-проекта.

На уровне компаний соглашения о неразглашении, как правило, заключаются в юрисдикции той страны, где находятся заказчики, причем с каждым из сотрудников, который вовлечен в проект. Подобным образом заказчик отметает риски того, что во время разработки может произойти утечка важной для него информации.

Что же касается параметров физической безопасности, то, как правило, для их обеспечения требуется выделенный периметр. Это отдельная комната, в которой создаются специальные условия по сигнализации, видеонаблюдению, круглосуточной охране. Некоторые заказчики уделяют настолько повышенное внимание условиям неразглашения, что даже средства мобильной связи заставляют оставлять на входе. Подобный периметр может быть создан заранее, когда компания еще только получает заказ на разработку – при участии в тендере это может стать значимым конкурентным преимуществом. Если вы указываете в тендере, что имеете в наличии закрытый этаж с ограниченным доступом, то это послужит дополнительной мотивацией для заказчика.

Функциональная система доступа должна предполагать возможность ограничивать доступ по времени, периметру и фамилии. К примеру, существует обслуживающий персонал, который обладает правами доступа только в определенные помещения. Хорошей практикой при этом может стать, если после шести вечера доступ закрывается автоматически. При этом разработку и внедрение систем автономного доступа необходимо соизмерять с финансовыми вложениями. Зачастую могут предлагаться достаточно "тяжелые" решения, при реализации которых необходимо учитывать их степень важности.

Характерный пример приводят специалисты компании Epam System: перед тем как установить систему ограничения доступа, специалисты по ИБ определили, сколько и чего в компании украли. Как оказалось – два портсигара, один ноутбук и персональный компьютер, которые вынесли студенты, бывшие на практике. То есть, если за пятнадцать лет существования компании было украдено на $2000, существует ли смысл тратить полмиллиона на систему дополнительного контроля? Здесь скорее важными окажутся требования заказчика. Причем с учетом того, что воруют в основном информацию – "железо" уже давно не входит в список интересов потенциальных похитителей.

Правильно уволить: основные аспекты

В коммерческих организациях увольняются все – рано или поздно наступает "день Х", когда работник решает обратить свой взор в сторону более подходящего места. Никто не может дать вам клятву, что будет трудиться на вас всю оставшуюся жизнь. Уходит ли сотрудник по своей инициативе, или же его квалификация не устраивает работодателя – в любом случае им приходится расставаться. С позиции неразглашения конфиденциальной информации наиболее выгодный вариант – сотрудник уходит самостоятельно. Если же вы решаете работника уволить, тогда конфликтная ситуация налицо и вам необходимо принимать куда более внушительные меры касаемо сохранения конфиденциальной информации. Если человек увольняется из компании, в которой проработал определенное количество лет, хорошей практикой будет провести с ним увольнительное интервью.

Существует своеобразное разделение стран, исходя из основных критериев безопасности: так называемые черный и белый списки. Беларусь, естественно, находится в первом. Поэтому будьте готовы, что, помимо заключения контракта на разработку, вас обяжут подписать дополнительное соглашение о неразглашении коммерческой тайны. На 80% оно типовое, на 20% – обладает спецификой по части информации, подлежащей защите, а также уровню доступа сотрудников к этим данным.

Кто это должен делать? Однозначно не ресурсный менеджер, который сам может послужить косвенной причиной для увольнения. И не человек из службы безопасности, поскольку вряд ли он сможет создать во время беседы доверительную атмосферу. Скорее всего это будет специалист кадровой службы. В HR-резерве зачастую работают профессиональные психологи, они могут располагать собеседника к себе таким образом, что он может рассказать много нового о компании, в которой трудился. Полученная информация в виде эскалации может попасть на стол к руководству и в этом нет совершенно ничего плохого.

Далее обязательно необходимо добиваться возврата материальных ценностей, которые выдавались сотруднику в служебное пользование: это могут быть флешки, проектная документация, мобильный телефон, компьютер. Необходимо убедиться, что все это было сдано. В целях минимизации рисков увольнения других сотрудников в ходе интервью очень важно обсудить причину ухода человека из компании. Если же работник увольняется по инициативе работодателя, наиболее важным здесь будет не спровоцировать конфликтную ситуацию. Соответственно готовиться к подобному исходу необходимо заранее. И заниматься этим должна так называемая маневренная группа. Это ресурсные менеджеры, юристы, служба поддержки IТ-инфраструктуры. В этой ситуации все должны действовать слаженно. Зачастую в сложных ситуациях на кону может стоять определенная компенсация при увольнении, чтобы максимально сгладить неприятные моменты. К примеру, работнику выплачивают три оклада, а он взамен подписывает заявление об увольнении. Вокруг подобных ситуаций может возникать множество спорных моментов. Во избежание подобных ситуаций необходимо, чтобы появился своеобразный "медиатор" – человек, обладающий в компании авторитетом, который может должным образом провести подобные переговоры.


Рынок IТ – весьма дефицитный в плане кадров, и это уже сугубо личное дело руководителя: готов ли он играть в военные действия на этом плацдарме? Отдельный вопрос – можно ли уволить за разглашение? В законе "О коммерческой тайне" уже будут прописаны основания для увольнения сотрудника в случае разглашения им конфиденциальной информации. Официально это положение еще не оформлено, поэтому увольнять нельзя.

Хорошей практикой для того, чтобы расставить все точки над подписанием заявления и выплатой компенсации, являются так называемые увольнительные обязательства. Это обязательства, которые подписываются отдельно: в них сотрудник обязуется не разглашать конфиденциальную информацию, а также не допускать публичных негативных высказываний в сторону тех или иных аспектов прежнего места работы. Сотруднику необходимо напомнить все те обязательства и проекты, в которых он принимал участие, приложив к нему перечень конфиденциальной информации. На фоне этого ответственного шага можно задуматься и о выплате компенсации. Зачастую эта мера срабатывает необходимым образом, и люди легче идут на подписание необходимой документации. Они получают компенсацию и, морально удовлетворенные, уходят в другие компании.

Что же делать, если работник уже уволился, но риски разглашения все равно остаются? К примеру, если это рекрутер, то он может воспользоваться базой данных сотрудников и далее начнет заниматься переманиванием работников у вас. В подобных ситуациях важно работать на упреждение: если сотрудник на новом месте работы продолжает заниматься тем, что ему не положено, хорошей практикой станет отправление ему официального письма с требованиями о неразглашении. Психологически этот метод имеет очень сильное воздействие. В вежливой форме вы поясняете человеку обязательства, которые он брал на себя во время оформления на работу.

Что законодательно может позволить себе руководитель?

Если это должностное лицо – директор или руководитель, то ему в помощь будет ст. 47 Трудового кодекса Республики Беларусь. Это "однократное грубое нарушение трудовых обязанностей" руководителем организации, его заместителем или же главным бухгалтером. Соответственно с руководителями легче. Для всех остальных можно посоветовать воспользоваться п. 2 ст. 47 ТК РБ. Чтобы задействовать этот пункт, в трудовом договоре необходимо указать, что разглашение конфиденциальной информации представляет собой именно грубое нарушение – для того чтобы потом было легко установить корреляцию в суде.

В целом конфиденциальность информации в сфере высоких технологий представляет собой достаточно гибкий инструмент. И пользоваться им необходимо с учетом всех правил и распоряжений, которые диктует не только современное законодательство, но и внутренний деловой распорядок в компании.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2014
Посещений: 8366

Приобрести этот номер или подписаться
  Автор

 

Елена Харламова

Военный и IT-обозреватель

Всего статей:  2

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций