6

Сергей Збожинский

Адвокат, специалист в сфере недвижимости. Договорное право, корпоративное право, M&A, инвестиции, налоги

07.02.2022

 

XХI век – это век информации и данных. Сегодня обычные данные стали необычайно важным и драгоценным активом, и эта тенденция продолжает расти.

Как и любой важный актив, данные необходимо защищать от злоумышленников, потери, разрушения, кражи и т.д. В этой статье ВигоЛекс рассмотрит основные способы того, как компании сохранить ее конфиденциальную информацию.

Что входит в состав конфиденциальной информации?

Единого ответа на этот вопрос нет.

Согласно общему определению, конфиденциальная информация – это информация, которая имеет определенную ценность для ее владельца.

В связи с ценностью такой информации, доступ к ней, как правило, ограничен согласно требованиям законодательства или правилам, которые установил владелец такой информации.

В свою очередь, законодательство не устанавливает перечень информации, которая является конфиденциальной. Законодательство лишь фиксирует общие критерии определения конфиденциальной информации и принципы ее защиты.

Таким образом, перечень конфиденциальной информации для каждой компании зависит от следующих факторов:

  • сфера деятельности компании: промышленное производство, IT-сфера, агентство недвижимости и т.д.;
  • бизнес-модель работы с клиентами и заказчиками: влияет тот факт, является ли компания посредником, ритейлером, непосредственно исполнителем или заказчиком, и т.д.;
  • особенности выполнения работ/предоставления услуг компанией: использование информационных технологий, дизайнерских решений, работа с базами данных и пр.

Каким образом можно защитить конфиденциальную информацию?

Исходя из практики, ВигоЛекс выделяет следующие возможные способы защиты конфиденциальной информации:

  • юридическая защита – построение договорных отношений с контрагентами с учетом интереса в защите конфиденциальной информации;
  • физическая защита – создание безопасной среды для хранения и работы с конфиденциальной информации;
  • аппаратно-программная защита – хранение конфиденциальной информации на приборах, конфигурация и характеристики которых позволяют избежать случаев нарушения защиты такой информации;
  • криптографическая защита – цифровые методы защиты, которые призваны обезопасить передачу конфиденциальной информации через различные каналы передачи данных.

shutterstock 1794130912

Юридическая защита

Юридическая защита конфиденциальной информации предполагает подписание NDA (договоров о неразглашении конфиденциальной информации) со всеми сотрудниками, консультантами и клиентами, которые имеют доступ к вашей конфиденциальной информации.

В таком NDA важно четко обозначить следующее:

  • какие данные являются конфиденциальными;
  • каков порядок возврата и удаления конфиденциальной информации по требованию ее собственника;
  • каким образом получатель такой информации имеет право ее использовать;
  • ответственность за нарушение условий NDA или разглашение конфиденциальной информации.

ВигоЛекс не рекомендует передавать кому-либо конфиденциальную информацию, не подписав предварительно с таким лицом NDA.

Физическая защита

Физическая защита предполагает использование технологий и механизмов, которые обеспечивают физическую защиту конфиденциальной информации, а также устройств, с помощью которых такая информация обрабатывается, хранится, воспроизводится.

На практике физическая защита прежде всего актуальна для обеспечения безопасности доступа к офису или коллективного места работы команды.

Стандартные меры для обеспечения физической защиты – это использование замков на помещениях, видеокамер, датчиков движения/излучения и т.д.

Например, доступ в каждое помещение в офисе компании осуществляется с помощью магнитного ключа. Ключ каждого сотрудника запрограммирован на доступ к определенному кругу помещений. Все устройства, с помощью которых обрабатывается и хранится конфиденциальная информация, размещены в одном помещении офиса, доступ к которому имеют ключи лишь нескольких сотрудников компании. Таким образом, на физическом уровне такая конфиденциальная информация является достаточно защищенной.

Аппаратно-программная защита

Аппаратно-программная защита – это защита непосредственно устройств для работы с конфиденциальной информацией: серверов, компьютеров, корпоративных сетей и т.д.

Для обеспечения такой защиты в основном используются следующие группы средств:

  • DLP (Data Leak Prevention) – средства для пресечения утечки данных, модификации конфиденциальной информации, перенаправления информационных потоков;
  • SIEM (Security Information and Event Management) – анализ в режиме реального времени сигналов об угрозах, ведение журнала данных, создание отчетов об угрозах конфиденциальной информации.

Сегодня многие компании строят свою работу на использовании облачных решений – в таком случае компания непосредственно не сможет обеспечить аппаратно-программную защиту, за это будет отвечать поставщик услуг.

В таких случаях ВигоЛекс рекомендует проводить регулярный аудит будущего или текущего поставщика облачных услуг для того, чтобы определить достаточность уровня защиты, который будет оказываться вашей конфиденциальной информации.

Криптографическая защита

Криптографическая защита попросту означает шифрование конфиденциальной информации и данных.

Наиболее надежный и безопасный способ использования криптографии – шифровать конфиденциальную информацию или ее наиболее чувствительные части перед, в процессе и после передачи такой информации.

Зашифрованные данные чаще всего существуют в виде хеш-кода, доступ к которому открывается при помощи определенного сложного пароля. Средства шифрования обеспечивают защиту физических и виртуальных носителей информации, файлов, каталогов, серверов.

Помимо хеширования самих данных, можно также использовать следующие средства криптографической защиты:

  • доступ в сеть Интернет с использованием VPN;
  • применение средств формирования, контроля и использования ЭЦП.

Важным аспектом также является то, что для целей внутреннего и внешнего аудита все меры защиты конфиденциальной информации следует юридически грамотно документировать.

Таким образом, защита конфиденциальной информации – это комплексный процесс, который требует оформления необходимых договоров и соглашений как внутри команды, так и с клиентами и поставщиками, внедрения технических и административных методов защиты данных, а также постоянного мониторинга и документирования мер, которые принимаются для защиты конфиденциальной информации.