Сергій Збожинський
Адвокат, спеціаліст у сфері нерухомості. Договірне право, корпоративне право, M&A, інвестиції, податки
07.02.2022
XXI століття – це століття інформації та даних. Сьогодні звичайні дані стали надзвичайно важливим та дорогоцінним активом, і ця тенденція продовжує зростати.
Як і будь-який важливий актив, дані необхідно захищати від зловмисників, втрати, руйнування, крадіжки та ін. У цій статті ВігоЛекс розгляне основні способи, як компанії зберегти її конфіденційну інформацію.
Що входить до складу конфіденційної інформації?
Єдиної відповіді це питання немає.
Згідно із загальним визначенням, конфіденційна інформація – це інформація, яка має певну цінність для її власника.
У зв’язку з цінністю такої інформації, доступ до неї зазвичай обмежений відповідно до вимог законодавства або правил, які встановив власник такої інформації.
У свою чергу, законодавство не встановлює перелік інформації, яка є конфіденційною. Воно лише фіксує загальні критерії визначення конфіденційної інформації та принципи її захисту.
Таким чином, перелік конфіденційної інформації для кожної компанії залежить від таких факторів:
- сфера діяльності компанії: промислове виробництво, ІТ-сфера, агентство нерухомості тощо;
- бізнес-модель роботи з клієнтами та замовниками: впливає той факт, чи є компанія посередником, рітейлером, безпосередньо виконавцем або замовником тощо;
- особливості виконання робіт/надання послуг компанією: використання інформаційних технологій, дизайнерських рішень, робота з базами даних та ін.
Яким чином можна захистити конфіденційну інформацію?
Виходячи з практики, ВігоЛекс виділяє такі можливі способи захисту конфіденційної інформації:
- юридичний захист – побудова договірних відносин із контрагентами з урахуванням інтересу у захисті конфіденційної інформації;
- фізичний захист – створення безпечного середовища для зберігання та роботи з конфіденційною інформацією;
- апаратно-програмний захист – зберігання конфіденційної інформації на приладах, конфігурація та характеристики яких дозволяють уникнути випадків порушення захисту такої інформації;
- криптографічний захист – цифрові методи захисту, які мають убезпечити передачу конфіденційної інформації через різні канали передачі даних.
Юридичний захист
Юридичний захист конфіденційної інформації передбачає підписання NDA (договорів про нерозголошення конфіденційної інформації) з усіма співробітниками, консультантами та клієнтами, які мають доступ до вашої конфіденційної інформації.
У такому NDA важливо чітко позначити таке:
- які дані є конфіденційними;
- який порядок повернення та видалення конфіденційної інформації на вимогу її власника;
- яким чином одержувач такої інформації має право її використовувати;
- відповідальність за порушення умов NDA або розголошення конфіденційної інформації.
ВігоЛекс не рекомендує передавати комусь конфіденційну інформацію, не підписавши попередньо з такою особою NDA.
Фізичний захист
Фізичний захист передбачає використання технологій та механізмів, що забезпечують фізичний захист конфіденційної інформації, а також пристроїв, за допомогою яких така інформація обробляється, зберігається, відтворюється.
На практиці фізичний захист насамперед є актуальним для забезпечення безпеки доступу до офісу або колективного місця роботи команди.
Стандартні заходи для забезпечення фізичного захисту – використання замків на приміщеннях, відеокамер, датчиків руху/випромінювання і т.д.
Наприклад, доступ до кожного приміщення в офісі компанії здійснюється за допомогою магнітного ключа. Ключ кожного працівника запрограмовано на доступ до певного кола приміщень. Всі пристрої, за допомогою яких обробляється та зберігається конфіденційна інформація, розміщені в одному приміщенні офісу, доступ до якого мають ключі лише кількох співробітників компанії. Таким чином, фізично така конфіденційна інформація є досить захищеною.
Апаратно-програмний захист
Апаратно-програмний захист – це захист безпосередньо пристроїв для роботи з конфіденційною інформацією: серверів, комп’ютерів, корпоративних мереж тощо.
Для забезпечення такого захисту в основному використовуються такі групи засобів:
- DLP (Data Leak Prevention) – засоби для запобігання витоку даних, модифікації конфіденційної інформації, перенаправлення інформаційних потоків;
- SIEM (Security Information and Event Management) – аналіз у режимі реального часу сигналів про загрози, ведення журналу даних, створення звітів про загрози конфіденційної інформації.
Сьогодні багато компаній будують свою роботу на використанні хмарних рішень – у такому разі компанія безпосередньо не зможе забезпечити апаратно-програмний захист, за це відповідатиме постачальник послуг.
У таких випадках ВігоЛекс рекомендує проводити регулярний аудит майбутнього або поточного постачальника хмарних послуг, щоб визначити достатність рівня захисту, який надаватиметься вашій конфіденційній інформації.
Криптографічний захист
Криптографічний захист означає шифрування конфіденційної інформації та даних.
Найбільш надійний та безпечний спосіб використання криптографії – шифрувати конфіденційну інформацію або її найбільш чутливі частини перед, у процесі та після передачі такої інформації.
Зашифровані дані найчастіше існують у вигляді хеш-коду, доступ до якого відкривається за допомогою певного складного пароля. Засоби шифрування забезпечують захист фізичних та віртуальних носіїв інформації, файлів, каталогів, серверів.
Крім хешування самих даних, можна використовувати такі засоби криптографічного захисту:
- доступ до мережі Інтернет за допомогою VPN;
- застосування засобів формування, контролю та використання ЕЦП.
Важливим аспектом також є те, що для цілей внутрішнього та зовнішнього аудиту всі заходи захисту конфіденційної інформації слід юридично грамотно документувати.
Таким чином, захист конфіденційної інформації – це комплексний процес, який вимагає оформлення необхідних договорів та угод як всередині команди, так і з клієнтами та постачальниками, впровадження технічних та адміністративних методів захисту даних, а також постійного моніторингу та документування заходів, що вживаються для захисту конфіденційної інформації.